Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 05-01-2011 21:38:31

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Que protège exactement https ?

Bonjour, je voudrais savoir ce que protège exactement une connexion https vers un site web. Si j'ai bien compris, ça permet de se protéger des attaques Man In The Middle et on est donc sûr que le site que l'on consulte est le bon (celui qui émet le certificat). Ce que je ne sais pas c'est dans le cas où mon trafic est enregistré dans un journal. Est ce que l'admin réseau par exemple est capable de savoir que j'ai consulté tel ou tel site si je l'ai consulté avec https ? Merci de vos éclaircissements.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 05-01-2011 23:00:06

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Que protège exactement https ?

Salut

La couche SSL/TLS ajoutée au HTTP permet 2 choses :
- authentifier le serveur distant grâce au système de certificat (tu es sûr que le site de Paypal ou Gmail que tu visites est le vrai)
- chiffrer (=> sécuriser) tout le contenu de la session.

Comme le seul apport du HTTPS est le SSL/TLS en couche de session du modèle OSI, les autres couches ne sont pas modifiées, donc les informations liées aux IP (couche transport) restent intactes. Quelqu'un qui snifferait ton trafic (par exemple l'admin réseau) peut encore voir que tu as consulté ce site, quand tu l'as consulté et combien de temps tu as passé dessus. Par contre, tout ce que tu y as fait est chiffré, donc il n'a pas accès au "contenu" de ta session wink

Quand tu dis que le HTTPS protège des attaques MITM, je dis "Attention !". Elles tes protègent d'un attaquant qui essayerait de se faire directement passer pour le serveur-cible, en te proposant son propre certificat ; c'est typique d'une attaque par Ettercap, et ça marche de moins en moins justement parce que les navigateurs hurlent dès qu'un certificat n'a pas été approuvé par une autorité de certification smile
Par contre, une attaque en MITM reste valable au niveau en dessous, via SSLStrip : là, le but est de s'intercaler entre la victime et son serveur, et de transformer la session HTTPS en HTTP simple. De l'autre côté, SSLStrip renvoie les infos en HTTPS vers le serveur concerné, mais entre les 2 il a accès au trafic en clair : pas-glop...
Plus de détails en cherchant "sslstrip" sur le forum, ou en jetant un oeil au tuto de M1ck3y --> Utilisation de Sslstrip pour une attaque man in the middle sur du https (SSL), arpspoof et hack paypal

Second risque : Surfjack qui permet de récupérer un cookie, initialement créé lors d'une session HTTPS. En effet, le HTTPS a chiffré le transfert des données, mais pas les fichiers eux-mêmes (dont les cookies) qui sont utilisables en clair. Et comme très peu de webmasters utilisent des cookies cryptés, il est possible de les récupérer en "forçant" une session HTTP simple (même sans que l'utilisateur s'en rende compte). Méfiance... wink
Plus de détails en cherchant "Surfjack" sur le forum, iautran en a par exemple parlé récemment --> Souci avec SurfJack

Troisième risque, surtout en entreprises : certains admins installent, au cœur des navigateurs des machines de boulot, leurs propres certificats pour certains grands sites (au hasard, Gmail). Comme c'est eux qui installent le certif', le navigateur est configuré pour ne rien dire, mais l'admin lui a désormais accès au contenu en clair des sessions HTTPS vers les sites concernés. Et c'est très vicieux car totalement transparent...
Plus de détails sur ce billet de Sebsauvage, qui a repéré l'astuce sur son réseau professionnel --> Je suis content d'utiliser CertPatrol [sebsauvage.net]

Le HTTPS permet donc, en théorie, de sécuriser le contenu et d'authentifier le serveur distant, mais comme toujours il faut rester prudent, en particulier sur un réseau "non contrôlé" wink

Hors Ligne

#3 06-01-2011 20:42:47

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Re : Que protège exactement https ?

Ok, merci pour ces explications. Encore une question (ou deux)
Tu dis
« Quelqu'un qui snifferait ton trafic (par exemple l'admin réseau) peut encore voir que tu as consulté ce site, quand tu l'as consulté et combien de temps tu as passé dessus. »
Cela signifie t'il qu'il voit uniquement le nom de domaine du site ou bien les pages exactes qui sont consultées. Si par exemple je suis sur un forum et que je poste un message (ou bien que je contribue à Wikipédia), il ne peut pas voir ce que j'écris ; c'est bien ça ? Parce que sinon je ne vois pas du tout l'intérêt du https.
Ensuite concernant l'article sur CertPatrol, je n'ai pas trop sa phrase qui dit
« Maintenant pensez aux pays qui n'ont qu'un ou deux FAI nationaux, et dont les FAI (ou les gouvernements, c'est selon) possèdent un certificat racine installé dans tous les navigateurs (C'est le cas de la Chine, la Turquie, Taïwan...). »
Si c'est aussi simple simple que ça de contrôler le trafic internet pour des pays totalitaires, à quoi sert le https mis en avant par l'EFF. Ça ne sert strictement à rien d'utiliser le https dans ces pays là dans ce cas où alors il me manque un élément.

Dernière modification par pamputt (06-01-2011 20:44:22)

Hors Ligne

#4 07-01-2011 10:34:20

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Que protège exactement https ?

pamputt a écrit :

Cela signifie t'il qu'il voit uniquement le nom de domaine du site ou bien les pages exactes qui sont consultées. Si par exemple je suis sur un forum et que je poste un message (ou bien que je contribue à Wikipédia), il ne peut pas voir ce que j'écris ; c'est bien ça ? Parce que sinon je ne vois pas du tout l'intérêt du https.

En fait, il ne voit même que l'IP du serveur auquel tu te connectes, mais avec un whois il peut retrouver le nom de domaine associé. Par contre, il n'a aucune info sur les URL que tu visites, donc il ne sait pas avoir sur quelles pages tu as été et ce que tu y as fait/écrit wink

« Maintenant pensez aux pays qui n'ont qu'un ou deux FAI nationaux, et dont les FAI (ou les gouvernements, c'est selon) possèdent un certificat racine installé dans tous les navigateurs (C'est le cas de la Chine, la Turquie, Taïwan...). »
Si c'est aussi simple simple que ça de contrôler le trafic internet pour des pays totalitaires, à quoi sert le https mis en avant par l'EFF. Ça ne sert strictement à rien d'utiliser le https dans ces pays là dans ce cas où alors il me manque un élément.

Non, ce n'est pas "aussi simple" de contrôler le trafic, et ce pour 2 raisons principales :
- l'effet de masse : même si techniquement ils en ont les moyens, en pratique ils ne peuvent pas analyser le trafic de tout le monde (t'imagines ce que ça donnerait en Chine ? big_smile); malgré tout le DPI ouvre des perspectives "intéressantes"...
- les tunnels : quelqu'un qui contournerait les "passerelles officielles" en utilisant un VPN, un tunnel SSH ou peut-être même TOR (à vérifier) permet de contourner les éventuels filtres mis en place par les FAI, étatisés ou non. Et ce sont généralement les gens qui utilisent ces canaux détournés qui sont les plus "intéressants" pour les responsables d'un éventuel "contrôle du contenu" (la censure quoi...) smile

Hors Ligne

#5 08-01-2011 02:48:27

pamputt
Membre Hyperactif
Inscription : 17-10-2010
Messages : 63

Re : Que protège exactement https ?

Je te remercie pour toutes ces explications qui m'aident à y voir un peu plus clair.

Hors Ligne

#6 08-01-2011 21:11:57

cailloux
Membre Hyperactif
Inscription : 07-01-2011
Messages : 53

Re : Que protège exactement https ?

Je ne suis pas totalement d'accord avec toi Antares.
J'utilise souvent un sniffeur de réseau, par exemple Wireshark et comme il capture tous les paquets d'un réseau en le configurant bien sur, on peut tout voir en détail en comprenant bien sur le langage Hexadécimal.

Il suffit de cibler une machine et de récupérer tous ses paquets entrant/sortant, et avec cela, on peut savoir tout ce que fait l'utilisateur.

Après bien sur, le HTTPS comme l'a bien expliqué Antares au début du Post, il permet de chiffrer les données principalement.
Par exemple, tu te connectes sur un site en HTTP et tu dois te logguer, tu rentres ton login et ton mdp, ben là je récupère le paquet avec Wireshark, et je peux lire en clair ce que tu as marqué et où.
Maintenant tu refais la même chose sur un site en HTTPS, sur le paquet que je vais récupérer, ce que tu as écris sera chiffré donc inutilisable smile

Pour conclure, les sites devraient êtres obligatoirement en HTTPS, TOUT internet d'ailleurs !!

Hors Ligne

#7 08-01-2011 21:41:27

cailloux
Membre Hyperactif
Inscription : 07-01-2011
Messages : 53

Re : Que protège exactement https ?

Suite
Petite Démonstration :
capturetest-JXjb.t.jpg

Marrant tongue

Vivement que le site passe au HTTPS big_smile ok je sors => []

Hors Ligne

#8 09-01-2011 00:16:51

cailloux
Membre Hyperactif
Inscription : 07-01-2011
Messages : 53

Re : Que protège exactement https ?

Petit Bonus :

wireshark-TXjb.t.jpg

Regarde bien la dernière ligne smile c'est bien sur, sur du HTTP
Évidemment, j'ai caché mon mot de passe tongue cela serait trop facile lol

hum je viens de relire ton 1er Post (Antares) et je tiens à corriger 1 erreur sur le modèle OSI
HTTPS : apport du SSL (maintenant V3) sur les protocoles donc la couche Transport du modèle OSI (Couche 4) surtout sur le protocole TCP car UDP, cela ne servirait à rien ^^
et par conséquent l'IP sur la couche 3 du modèle OSI wink

Juste pour conclure, en HTTPS, les échanges se font au niveau 4 tandis que le HTTP au niveau 7  du modèle OSI smile

Hors Ligne

#9 09-01-2011 19:03:58

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Que protège exactement https ?

cailloux a écrit :

Je ne suis pas totalement d'accord avec toi Antares.
J'utilise souvent un sniffeur de réseau, par exemple Wireshark et comme il capture tous les paquets d'un réseau en le configurant bien sur, on peut tout voir en détail en comprenant bien sur le langage Hexadécimal.
Il suffit de cibler une machine et de récupérer tous ses paquets entrant/sortant, et avec cela, on peut savoir tout ce que fait l'utilisateur.

Ah, mais j'ai jamais dit le contraire (ou alors c'est un malentendu et je m'en excuse). En fait tout dépend de ce que tu appelles "un réseau"...
- Ethernet sans switch (avec des hub, donc) ou WiFi en OPN, effectivement c'est open-bar tout le trafic de tout le monde circule en clair, et si les applications ne s'occupent pas du chiffrement il n'y a aucune protection.
- WiFi en WEP, ça reste la même chose (grosse-modo), il faut juste donner la clé à Wireshark dans les options.
- WiFi en WPA, c'est plus compliqué parce que le WPA utilise des clés de session différentes pour chaque machine. Il peut décoder le trafic d'une machine à la fois à condition d'avoir le handshake correspondant, mais c'est tout.
- Sur de l'Ethernet en switché (le switch n'envoie le trafic que sur le port de la machine concernée), Wireshark devient aveugle wink Tu es obligé de faire du MITM et de rediriger le trafic vers ta machine pour y avoir accès (mais alors effectivement il est en clair).
- Sur un VPN, heu... bonne chance ! big_smile

Pour conclure, les sites devraient êtres obligatoirement en HTTPS, TOUT internet d'ailleurs !!

Avec le système actuel, ce n'est pas envisageable : la majorité des sites (surtout les petits) n'ont pas les moyens de se payer une vérification de certificat, et le risque de sniff (sur un réseau personnel, voire d'entreprise) reste malgré tout limité wink

hum je viens de relire ton 1er Post (Antares) et je tiens à corriger 1 erreur sur le modèle OSI
HTTPS : apport du SSL (maintenant V3) sur les protocoles donc la couche Transport du modèle OSI (Couche 4) surtout sur le protocole TCP car UDP, cela ne servirait à rien ^^
et par conséquent l'IP sur la couche 3 du modèle OSI wink

Juste pour conclure, en HTTPS, les échanges se font au niveau 4 tandis que le HTTP au niveau 7  du modèle OSI smile

A mon tour je me permets d'objecter ! A ma connaissance, le SSL (ou son successeur le TLS) intervient en couche 5 (couche de session) et chiffre tout ce qui se trouve au dessus de la couche 4 (couche de transport).
D'ailleurs c'est logique, SSL a au moins besoin d'une structure de paquet comme TCP pour s'organiser, et tu ne peux pas chiffrer la couche IP (sinon bonne chance pour acheminer les trames au bon endroit big_smile)
J'ai pas le courage d'me taper les RFC pour vérifier, mais Wikipedia a l'air de mon avis --> Transport Layer Security [Wikipedia FR] (voir aussi d'autres sites sur le sujet)
Au passage, il existe une forme de SSL qui est applicable à l'UDP, je ne vois pas pourquoi "ça ne servirait à rien"... L'intérêt du modèle OSI c'est justement que les couches sont (relativement) indépendantes, donc le chiffrement (en couche de session) est indépendant du protocole utilisé pour le transport (TCP, UDP,...).
Dernière remarque : entre 2 hôtes, les échanges se font sur l'ensemble des 7 couches et pas sur une couche particulière. Les hôtes intermédiaires ne décodent éventuellement qu'une partie des couches, mais entre les hôtes finaux c'est tout le modèle qui est concerné.

La parole est à la Défense smile

Hors Ligne

#10 09-01-2011 19:20:40

raylook
Membre d'Or
Lieu : dans ton disque dur !!
Inscription : 13-01-2010
Messages : 449
Site Web

Re : Que protège exactement https ?

@cailloux : C'est pas prudent d'afficher en clair ces cookies lol


fete.gif

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
DNS spoofing + https par guillaume
0 635 04-01-2016 23:58:43 par guillaume
2 1559 04-07-2014 19:43:45 par flatounet
8 1725 20-04-2014 12:25:39 par antares145
3 1605 13-03-2014 22:49:00 par shaft92
MITM Ettercap HTTPS ? par Endless-Hacking
2 1196 12-08-2013 13:24:07 par Volkow

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.026 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]