SSL/TLS is powned

Google a découvert que des certificats certifiés par l’ANSSI ont permis de faire du MITM sur le traffic destiné à Google.

En clair, l’Agence nationale de la sécurité des systèmes d’information française peut se faire passer pour Google et écouter/modifier le traffic chiffré par SSL entre vous et Google sans activer aucune alerte (cadenas toujours vert dans Firefox, SSL actif).

La faute au tiers de confiance du principe d’SSL. On fait confiance à tous les certificats signés par les autorités de certifications fournies avec notre OS ou notre navigateur. Comme le montre la réponse boiteuse de l’ANSSI. Et parmi celles-ci il y a des gouvernements (Japanese Government, ), des entreprises de télécommunication (AOL, Swisscom), beaucoup de sociétés américaines (Verisign, Thawte), etc… La blague.

Je l’avais déja expliqué ici et .

Un moyen de protection bancal contre ça est de vérifier si le certificat pour tel site a changé depuis notre dernière visite. Mais ca part du principe que la première connexion s’est faite sans MITM. De plus, les serveurs Google n’ont pas tous le même certificat, donc vous êtes submergés de fausses alertes.

3 thoughts on “SSL/TLS is powned

  1. Le fait que google ait plusieurs certificats, et que l’on se retrouve submergé d’alerte (qui ne sont pas fausses pour autant) n’est pas une raison pour se passer de Certificate Patrol sur les centaines d’autre sites que l’on consulte :)

Laisser un commentaire