RSS articles
Français  |  Nederlands

Le gouvernement belge injecte des faux certificats https pour intercepter/modifier du traffic internet

posté le 14/12/13 par sgng Mots-clés  répression / contrôle social 

Actuellement naviger vers https://kickass.to (un site torrent) ne vous rend pas le certificat ssl du site kickass.to.

Un certificat pour le domaine *.services.belgium.be est envoyé au navigateur qui permet le gouvernement belge d’intercepter/modifier le traffic entre l’utilisateur et le serveur.

Ce certificat est de son tour signé par Cybertrust -> Belgian Root CA2 -> Government CA

L’attaque est mal executé pour le moment et comme *.services.belgium.be ne correspond pas à kickass.to, le navigateur se plaint que le certificat n’est pas valide, nécessitant une intervention de l’utilisateur pour accepter le faux certificat.

Il est important par contre de se rendre compte que tant que le certificat Belgian root CA2 est accepté par votre navigateur web comme étant le certificat d’une organisation fiable, il est possible pour le gouvernement belge de générer un certificat pour n’importe quel site qui sera accepté par votre navigateur sans avertissement.

La seul manière de prévenir une telle attaque est de configurer votre navigateur telle de refuser des certificats signé par les authorités de certification que vous ne faites pas confiance et se plaindre chez votre navigateur pour enlever le certificat la liste des certificats fiable.

En occurrence le Root CA du gouvernement belge est signé par Cybertrust (fait partie de Verizon) et la seule manière facile est de virer le cybertrust Root CA de votre navigateur.

Ceci va par contre pas seulement blocquer les certificats du gouvernement belge, mais aussi tous les autres certificats signés par cybertrust. A vous le choix.

Ca peut valoir le coup de se plaindre massivement chez verizon et les navigateurs web/systemes de gestion par rapport a cette attaque pour mettre pression de ne plus accepter les certificats du gouvernement belge.

En annexe le certificat en question et des captures d’écran.

ps : il y a par default dan firefox beaucoup de certificats accepté par default de diverses gouvernements.

pour désactiver des certificats, edit->preferences->advanced->encryption->certificats


posté le  par sgng  Alerter le collectif de modération à propos de la publication de cet article. Imprimer l'article
Liste des documents liés à la contribution
screenshot_1.png(...).png
screenshot_2.png(...).png
services.belgium(...).zip

Commentaires
  • 15 décembre 2013 21:38

    Merci pour l’info, elle est importante. Le problème c’est que "L’attaque est mal executé", quid des attaques qui sont "bien exécutées" ?
    Il n’y a pas de solution miracle, et en tout cas je pense qu’il faut installer une "hygiène militante" qui évite les communications par téléphone, gsm ou l’internet.

  • 16 décembre 2013 15:48, par KheOps

    Salut, je pense que cette analyse est fausse. Je viens de tester depuis une connexion Belgacom, j’ai un certificat correct (signé par Comodo) - fingerprint 59:9A:F9:3B:AC:7E:14:87:A8:D6:F7:13:DF:E6:76:A8:4A:CA:2C:C2.

    La différence, c’est que j’utilise mon propre serveur DNS. Donc je pense que, comme pour Pirate Bay, ils font mentir leurs serveurs DNS, qui du coup retournent une IP belge plutôt que la vraie IP de kickass.to, IP belge derrière laquelle il y a une machine contrôlée de près ou de loin par les gouvernement, dont le certificat SSL sur le port 443 est un truc qui n’a du coup rien à voir avec kickass.to.

    Le problème de certificat est donc une conséquence du DNS menteur, et je ne pense pas que ce dernier soit utilisé pour faire du man-in-the-middle.

  • Ouais, ça semble un peu foireux comme raisonnement. Kickass et Pirate Bay sont bloqués officiellement par décisions de justice, les FAI doivent donc rediriger ceux qui tentent de s’y connecter vers la page de la police en question. Le navigateur remarque forcément que le site visité ne correspond pas à la réalité, et la page finalement affichée (celle de la police) a son propre blindage SSL (qui ne correspond pas au blindage de Pirate Bay ou de Kickass). J’ai l’impression que tu veux rendre quelque chose de presque simple en quelque chose de presque compliqué...

    Donc, ce n’est pas un "faux certificat https", c’est le vrai certificat d’une autre page !

Avertissement

Les commentaires ont pour objectif de compléter l’information donnée dans l’article, argumenter, apporter une interrogation ou un questionnement par rapport au sujet de la contribution. Les avis personnels qui n’apportent rien de plus à l’article pourront être considérés comme discussion de forum ne répondant pas aux objectifs pré-cités.Tout commentaire ne répondant pas à ces objectifs, ou étant contraire aux règles éditoriales sera supprimé définitivement du site.

Lien vers la politique éditoriale du collectif

Les commentaires des articles trop anciens sont fermés, et ceci pour limiter les attaques de spam.