Bonjour,

Le 20/04/2015 08:50, Remy Sanchez a écrit :
> Bonjour à tous,
> 
>  
> 
> Sans rentrer dans le débat politique, je suis assez curieux de savoir quelles 
> communications pourraient être interceptées si les infrastructures françaises 
> étaient dotées de boites noires qui interceptent tout.
> 
>  
> 
> En l'occurence, si on regarde 
> https://www.google.com/transparencyreport/saferemail/?hl=en on s'apperçoit 
> rapidement qu'un très grand nombre des mails échangés le sont via TLS. Si on 
> considère par exemple 2 mails échangés de Gmail à Gmail, on est sûr que de 
> bout en bout le mail était chiffré sur "on the wire", étant donné que Google 
> force le HTTPS/TLS partout.
> 
>  
> 
> Est-ce qu'on peut donc considérer qu'il est bien impossible pour le 
> gouvernement français de surveiller _massivement_ Gmail par exemple ?
J'avoue que je n'ai pas regardé en détail le fonctionnement prévu pour les « 
boîtes noires » de la république française.

Mais:
1- N'importe quelle « autorité de certification » peut créer un certificat pour 
n'importe quel domaine et sous-domaines « sécurisé », c'est-à-dire utilisant 
HTTPS. [1]
Pour simplifier, ce système fonctionnait jusqu'à ce qu'une CA soit compromise 
ou que ses systèmes automatisés fassent n'importe quoi. Cela est arrivé en 
2001, quand Verisign a fourni 2 certificats ayant le nom « Microsoft 
Corporation ». [1bis]

2- Il existe au moins une autorité de certification française. [2]

Il me semble donc tout à fait possible, pour les services de l'État, d' 
"inviter" une autorité de certification à créer un certificat pour des webmails 
sur-utilisés (y compris Free, SFR ou LaPoste.net…).
C'est du déjà vu [3].

L'utilisateur est alors incapable de savoir que son navigateur a accepté un 
certificat de la mauvaise autorité. Tout est sécurisé, mais au milieu tout est 
déchiffré (pour les journaux de la boîte noire ?) puis rechiffré (pour google).



Il y a des mesures supplémentaires/différentes de vérification, comme DANE, 
mais il me semble qu'il n'est pas actuellement implémenté dans les navigateurs 
(il faut un module complémentaire pour Firefox, par exemple).



Personnellement, je suis attristé que la *seule* CA basée sur les 
êtres-humains, qui ne fait pas payer ses certificats, ne soit pas reconnue par 
les navigateurs les plus courants parce qu'elle n'a pas fait un « audit de 
sécurité ». [5]
Mais je m'obstine à utiliser CACert: c'est gratuit :-D , ça permet de 
rencontrer des personnes sympathiques :) et cela me donne l'occasion de montrer 
qu'il faut avoir des compétences techniques élevées pour que Google Chrome 
fasse ce que l'on veut (installer une CA manuellement) et qu'il ne faut pas « 
cliquer partout jusqu'à ce que ça marche » sans lire ce qui est écrit sur 
l'écran, tout en dénonçant cette manne financière honteuse.

Si la personne à qui je le montre a un peu de temps (entre 1/4 d'heure et 2 
heures selon la tournure de la discussion), cela se passe très bien.
Dans le cas où elle veut comprendre et/ou accéder au site en moins de 2 
minutes, je lui dit de revenir/m'appeler quand elle a le temps.



[1] Il y a quelque chose de pourri au royaume des CA: 
<http://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique#Vuln.C3.A9rabilit.C3.A9s>
 [FR]

[1bis] Les CA, en nangliche: 
<http://en.wikipedia.org/wiki/Certificate_authority#CA_compromise> [EN]

[2] Un lien avec la liste des fournisseurs européens (déclarés) de services de 
certification est disponible en bas de cet article: 
<http://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification> [FR]. J'ai arrêté 
de regardé dès que j'en ai trouvée une en France.

[3] Décembre 2013: de faux certificats google.com sont émis par une CA 
française: 
<https://ec.europa.eu/digital-agenda/en/eu-trusted-lists-certification-service-providers>
 [EN]

[4] DANE: baser les certificats sur des champs DNS (on fait déjà confiance au 
DNS pour l'adresse IP): <https://www.bortzmeyer.org/6698.html> [FR]
Tout récemment, l'épinglage des clés: <https://www.bortzmeyer.org/7469.html> 
[FR]

[5] Lien vers les explications de la personne ayant lancé l'audit interne dans 
CACert: <https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#239> [EN]. À 
lire aussi, le troll^W débat/discussion sur LinuxFR: 
<http://linuxfr.org/news/firefox-32>


> Merci pour vos lumières :)
N'hésitez-pas à préciser/corriger/démentir, je ne prétends pas maîtriser ces 
techniques !

@+
-- 
J. Fernando Lagrange

Attachment: signature.asc
Description: OpenPGP digital signature

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Répondre à