Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 25-05-2013 16:16:22

mzutg
Membre Indéboulonnable
Inscription : 29-04-2011
Messages : 118

Question sur ssltrip et https

Bonjour
J'ai une petite question concernant ssltrip le https et le hsts.
Sans le hsts, ssltrip "divise" la connexion en 2 : il communique en ssl avec le server et en clair avec la victime ( dont il est le server.
Avec le hsts, le client exige une connexion ssl.

On ne pourrait pas utilisé ssltrip pour qu'il communique en ssl avec la victime ? l'attaquant decrypterait ce qui arrive su server et le réencrypterait relativement a la connexion qu'il a avec la victime.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 25-05-2013 17:33:06

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Question sur ssltrip et https

Salut ! smile

Pour resituer le contexte, je suppose que tu parles de cet article ? --> HTTPS et HSTS : Duo gagnant

On pourrait tout à fait communiquer avec le client en SSL (HTTPS), Ettercap le fait d'ailleurs depuis longtemps. Le problème, c'est que le navigateur de la victime s'attend à ce que le serveur en face (l'attaquant, dans ce cas-ci) prouve son identité avec un certificat. Ledit certificat doit d'ailleurs être vérifié par une autorité dite "de confiance", qui confirmera que le certificat correspond bien au domaine visité par le navigateur.
Or, l'attaquant ne dispose (généralement) pas d'un certificat vérifié. Il peut en créer un et l'auto-signer, mais ça n'est pas une preuve d'identité et une autorité de certification ne le validera pas sans "preuve" de l'identité réelle. Et quand un navigateur reçoit un certificat non-signé (non vérifié, donc), il affiche un grand avertissement bien connu wink

Donc pour résumer, pour pouvoir discuter en HTTPS avec la cible, il faut que l'attaquant dispose d'un certificat vérifié, et valide pour "tous" les domaines que la cible visitera (Gmail, Hotmail, Paypal, Facebook, Twitter). En pratique c'est très difficile à obtenir, et c'est aussi pour ça que c'est le branle-bas de combat quand une autorité de certification est compromise : l'attaquant peut alors signer (= rendre valide) n'importe quel certificat, qui sera accepté sans broncher par le navigateur.
Plus d'infos --> Des véreux de Comodo [sid.rstack.org]

Puisqu'on parle des "autorités de certification" en qui les navigateurs ont une confiance aveugle, je vous invite également à lire les 2 articles suivants :
--> Tiens, regardez qui s'est invité [sebsauvage.net]
--> Je suis content d'utiliser CertPatrol [sebsauvage.net]

C'est plus clair ? smile

Hors Ligne

#3 01-06-2013 16:47:18

mzutg
Membre Indéboulonnable
Inscription : 29-04-2011
Messages : 118

Re : Question sur ssltrip et https

Merci pour l'explication et la documentation xD.
Comment le navigateur reconnait qu'une certification est faite par une organisation officielle ? il contact un server ( dans ce cas on peut pas faire quelque chose en mitm) ? Ou alors c'est quelquechose interne au navigateur ne nécessitant par un contact exterieur ? ( la réponse est peut eter dans la docu mais j'ai pas encore lu, si c'est le cas je m'excuse d'avance xD)

Hors Ligne

#4 01-06-2013 22:14:39

Tiger Jr
Membre
Lieu : France, Alsace.
Inscription : 23-11-2012
Messages : 18

Re : Question sur ssltrip et https

Bonsoir,


Si je ne dis pas de bêtises, c'est interne au navigateur, d'ailleurs les navigateurs peuvent avoir différentes autorités de certification. Je vais prendre pour cet exemple Apple qui a introduit le Département de la Défense des États-Unis dans ses autorités (lien, également de sebsauvage : Apple's Root Certs Include the DoD). Bon, bien qu'il y ait une connexion à un serveur, je ne saurai dire exactement quel rôle il joue. En effet, tu peux tout à fait ajouter manuellement des autorités de certification qui ne sont pas déjà présentes (comme CAcert que je n'ai que récemment ajouté).
Dans Firefox, tu peux trouver les autorités dans les Préférences, onglet Avancé, puis Chiffrement, et enfin Voir les certificats.
J'en profiterai pour demander si c'est normal que dans les autorités, il y ait divers gouvernements, je pense à Taiwan ou encore Japanese Government (un pays que je respecte tant, ce serait dommage que ce soit une affaire comme le Département de la Défense des États-Unis) ?

Hors Ligne

#5 07-06-2013 23:33:04

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Question sur ssltrip et https

Salut ! smile

Tiger Jr : tu as bien résumé la situation, la liste des autorités "de confiance" est interne au navigateur (pas d'interaction avec un serveur). Et tu peux effectivement en rajouter (ou en retirer !) manuellement. C'est parfois le cas en entreprise par exemple, qui ajoute une "autorité" interne à des fins plus ou moins louables (cfr. mon lien plus haut sur certpatrol). En pratique, si n'importe laquelle de ces "autorités" signe un certificat, il sera considéré comme légitime par le navigateur.

On peut effectivement se demander ce que des gouvernements et autres organisations plus ou moins politiques font sur cette liste. D'un point de vue théorique (et paranoïaque), ça leur permettrait de faire du MITM massif sans se faire repérer (il leur suffit de "demander" aux FAI de modifier un peu les DNS). Mais je pense qu'il ne faut pas voir le mal partout (et c'est moi qui dit ça...) : ça peut aussi servir à pouvoir valider les certificats des sites de l'administration (par exemple) sans dépendre d'une autorité extérieure (et généralement américaine).

En cas de doute, on peut toujours supprimer les autorités douteuses. Et puis quand on voit l'actualité récente, il faut bien se dire que l'Oncle Sam n'a pas besoin de ça pour fouiner dans ce qui l'intéresse wink
--> PRISM : les Français concernés par l'espionnage des géants du web
Notez que les USA ne sont sans doute pas les seuls dans le cas...

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
7 316 26-09-2016 15:52:41 par ElliotV
3 223 01-08-2016 15:53:54 par Olympe
11 711 05-03-2016 12:51:24 par Jéjé El Dipso
6 968 08-01-2016 19:58:40 par damsss
DNS spoofing + https par guillaume
0 641 04-01-2016 23:58:43 par guillaume

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.023 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]