Bonsoir,
Le 08/12/2013 à 21:06, Raphaël Stehli a écrit :
> Il faudrait également savoir comment les responsables de l'AC
> intermédiaire ont pu signer un certificat de pour google ou gmail.
Techniquement parlant, une AC intermédiaire peut signer ce qu'elle veut,
tout comme une AC racine... Après,
Le 08/12/2013 23:19, Kavé Salamatian a écrit :
>> - les salariés ou agents doivent être au courant de l'interception SSL via
>> la charte informatique et la déclaration CNIL donc en utilisant le système
>> informatique de l'entreprise / administration, ils étaient au courant et ils
>> ont fait l
Aucun rapport en l'espèce : c'était pour l'hypothèse de la
responsabilité de l'entreprise qui avait un certif intermédiaire en cas
de piratage suite à la lecture d'un flux SSL. C'était pour conclure
qu'elle serait très limitée voir écartée, quelques soit les hypothèses
envisagées. Mais effectivemen
On Sun, Dec 08, 2013 at 09:06:02PM +0100,
Raphaël Stehli wrote
a message of 442 lines which said:
> - les banques sérieuses utilise du forward secrecy, qui devrait limiter
> les problèmes de l'interception SSL,
Je ne vois pas en quoi. On parle d'un Homme du Milieu ici. Le PFS ne
gène pas l'Ho
On Sun, Dec 08, 2013 at 08:33:53PM +0100,
Jean-Yves Faye wrote
a message of 81 lines which said:
> Après cela remet encore une fois sur le tapis la question de la
> liste à rallonge des autorités "de confiance" qui peuvent donner des
> certificats pour n'importe quoi, qui ne veut plus dire gra
Le 8 déc. 2013 à 21:06, Raphaël Stehli a écrit :
> Juridiquement parlant, rien n'empêche à un employeur (public ou privé) :
> - de déchiffrer le contenu des flux chiffrés pour les analyser de manière
> automatique,
Oui a condition que rien en dehors de l’adresse IP SRC/DST en mode anonymisé ne
On Sun, Dec 08, 2013 at 08:33:53PM +0100,
Jean-Yves Faye wrote
a message of 81 lines which said:
> Dans ce cas précis, une fonctionnalité de type restriction à
> *.gouv.fr sur l'IGC de l'administration aurait été pertinente.
La fonction "Name Constraints" de X.509 (RFC 5280, section 4.2.1.10)
On Sun, Dec 08, 2013 at 08:08:00PM +0100,
Fabien Delmotte wrote
a message of 36 lines which said:
> J’ai personnellement installé plusieurs configuration en dehors de
> la France sans problèmes techniques.
Personne n'a dit que cela ne marchait pas. C'est la moralité de ce
détournement qui éta
Bonjour
Ci-dessous les infos que j'avais trouvées il y a quelques mois sur ce
sujet mais cela a pu évoluer. Je ne suis pas à jour et pas juriste
Décret du 25 Février 2011
Obligation Conservation des données d'identification pour les opérateurs
WIFI
Opérateurs WIFI (Article 32 CPCE)
Personne
Le 8 déc. 2013 à 22:53, Alexandre Archambault a
écrit :
>
> Le 8 déc. 2013 à 22:30, Yann Vercucque a écrit :
>
>> Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
>> anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un
>> hotspot invité
>
Bonjour,
Je suis la discussion avec intérêt depuis un moment.
Effectivement, la pratique de MITM est connue et simple à réaliser, ce qui est
inédit est qu’une autorité de certification génère un certificat … et se fasse
choper surtout.
Par contre, auriez-vous des précisions sur cette histoire
Le 8 déc. 2013 à 22:30, Yann Vercucque a écrit :
> Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
> anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un
> hotspot invité
Non. Tenus de conserver les données de connexion (en gros à quel étai
Le 8 déc. 2013 à 22:30, Yann Vercucque a écrit :
> Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
> anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un
> hotspot invité. De ce faite, il est nécessaire de faire de l'interception
> SSL, afi
Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un
hotspot invité. De ce faite, il est nécessaire de faire de l'interception SSL,
afin loguer les flux HTTPS.
Comme cela a déjà été dit, le prob
Juridiquement parlant, rien n'empêche à un employeur (public ou privé) :
- de déchiffrer le contenu des flux chiffrés pour les analyser de
manière automatique,
- de déchiffrer le contenu des flux chiffrés pour interception manuelle,
à la demande d'une autorité administration ou juridictionnelle, vo
Bah non.
Que ça soit en interne ou en externe faire un MITM sur un transfert externe est
problématique. Que ça soit dans l’administration ou pas (sauf exception genre
l’armée ou autorisation de l’autorité judiciaire) et dans ce cas l’information
recueillie est un scellé.
Kavé Salamatian
Le 8 d
le problème n’est pas le SSL intercept ou un problème technique. Le problème
est de « fake »r un certificat d’une entité externe. C’est pas parce que c’es
techniquement possible qu’il est acceptable de le faire. Un peu d’éthique est
bonne dans toute chose :-)
Une petite recherche google donne :
Bonsoir,
NetASQ a cette fonctionnalité, et de plus est un produit bien Français.
Purement techniquement parlant, cette technique peut être pratique pour
garder l'aspect SSL des communications, tout en soumettant à l'analyse
antivirus/IDS les flux entrants, chose courante avec les appliances type
N
Bonsoir,
Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un problème
de configuration qu’autre chose.
Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur le
sujet avec le comment faire et son contraire), mais cela fonctionne sans
problème Technique da
J’espère que l’entreprise qui fait ça a une bonne assurance, car le jour ou
elle aura une banque qui s’est fait piraté avec un MITM se retournera vers
elle, elle risque gros ….
Kavé Salamatian
Le 8 déc. 2013 à 19:48, Surya ARBY a écrit :
> C'est pourtant le principe de fonctionnement des firew
C'est pourtant le principe de fonctionnement des firewalls palo alto qui
font du MITM SSL avec des certificats signés par la PKI interne.
Le 08/12/2013 19:26, Kavé Salamatian a écrit :
2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une
destination en dehors de son ré
Le problème est le suivant :
- l'IGC/A interdit dans sa politique la signature de tiers à
l'administration http://www.ssi.gouv.fr/fr/anssi/services-securises/igc-a/
- les certificats IGC/A sont (ou étaient) installés par défaut dans les
magasins des principaux clients
La signature illégitime d'un
Bonjour
1-pourquoi ils se font fait prendre?
Google a detecté le « man in the middle »
2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une
destination en dehors de son réseau. Il peut décider de bloquer ce traffic,
mais le décrypter avec un certificat « fake » c’est du p
Bonjour,
Je comprends pas bien pourquoi ils se sont fait prendre : pour intercepter
les flux ssl l'employeur annonce à tout le personnel ce qu'il va faire,
qu'on est pas à la maison mais au boulot, que le pare-feu va inspecter les
messages et donc les certificats seront ceux du boulot (comme o
A priori il y’a des outils qui sont vendus afin d’intercepter des connexions
SSL sortantes et de vérifier leur contenu. Une administration liée au ministère
des finances à voulu « tester » cette solution sur du trafic gmail. Pour ceci
il faut forger un certificat de google (tout comme n’importe
Bonjour la liste,
Après plusieurs mois de lecture, il s'agit de ma première intervention.
- Le Monde vient de publier un article "Google bloque des certificats de
sécurité Internet émis par une autorité française"
http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certifi
26 matches
Mail list logo
