Bonjour,
Le 20/04/2015 08:50, Remy Sanchez a écrit :
Bonjour à tous,
Sans rentrer dans le débat politique, je suis assez curieux de savoir quelles communications pourraient être interceptées si les infrastructures françaises étaient dotées de boites noires qui interceptent tout.
En l'occurence, si on regarde https://www.google.com/transparencyreport/saferemail/?hl=en on s'apperçoit rapidement qu'un très grand nombre des mails échangés le sont via TLS. Si on considère par exemple 2 mails échangés de Gmail à Gmail, on est sûr que de bout en bout le mail était chiffré sur "on the wire", étant donné que Google force le HTTPS/TLS partout.
Est-ce qu'on peut donc considérer qu'il est bien impossible pour le gouvernement français de surveiller _massivement_ Gmail par exemple ?
J'avoue que je n'ai pas regardé en détail le fonctionnement prévu pour les « boîtes noires » de la république française.
Mais: 1- N'importe quelle « autorité de certification » peut créer un certificat pour n'importe quel domaine et sous-domaines « sécurisé », c'est-à-dire utilisant HTTPS. [1] Pour simplifier, ce système fonctionnait jusqu'à ce qu'une CA soit compromise ou que ses systèmes automatisés fassent n'importe quoi. Cela est arrivé en 2001, quand Verisign a fourni 2 certificats ayant le nom « Microsoft Corporation ». [1bis]
2- Il existe au moins une autorité de certification française. [2]
Il me semble donc tout à fait possible, pour les services de l'État, d' "inviter" une autorité de certification à créer un certificat pour des webmails sur-utilisés (y compris Free, SFR ou LaPoste.net…). C'est du déjà vu [3].
L'utilisateur est alors incapable de savoir que son navigateur a accepté un certificat de la mauvaise autorité. Tout est sécurisé, mais au milieu tout est déchiffré (pour les journaux de la boîte noire ?) puis rechiffré (pour google).
Il y a des mesures supplémentaires/différentes de vérification, comme DANE, mais il me semble qu'il n'est pas actuellement implémenté dans les navigateurs (il faut un module complémentaire pour Firefox, par exemple).
Personnellement, je suis attristé que la *seule* CA basée sur les êtres-humains, qui ne fait pas payer ses certificats, ne soit pas reconnue par les navigateurs les plus courants parce qu'elle n'a pas fait un « audit de sécurité ». [5] Mais je m'obstine à utiliser CACert: c'est gratuit :-D , ça permet de rencontrer des personnes sympathiques :) et cela me donne l'occasion de montrer qu'il faut avoir des compétences techniques élevées pour que Google Chrome fasse ce que l'on veut (installer une CA manuellement) et qu'il ne faut pas « cliquer partout jusqu'à ce que ça marche » sans lire ce qui est écrit sur l'écran, tout en dénonçant cette manne financière honteuse.
Si la personne à qui je le montre a un peu de temps (entre 1/4 d'heure et 2 heures selon la tournure de la discussion), cela se passe très bien. Dans le cas où elle veut comprendre et/ou accéder au site en moins de 2 minutes, je lui dit de revenir/m'appeler quand elle a le temps.
[1] Il y a quelque chose de pourri au royaume des CA: http://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique#Vuln.C3.A9rabilit.C3.A9s [FR]
[1bis] Les CA, en nangliche: http://en.wikipedia.org/wiki/Certificate_authority#CA_compromise [EN]
[2] Un lien avec la liste des fournisseurs européens (déclarés) de services de certification est disponible en bas de cet article: http://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification [FR]. J'ai arrêté de regardé dès que j'en ai trouvée une en France.
[3] Décembre 2013: de faux certificats google.com sont émis par une CA française: https://ec.europa.eu/digital-agenda/en/eu-trusted-lists-certification-service-providers [EN]
[4] DANE: baser les certificats sur des champs DNS (on fait déjà confiance au DNS pour l'adresse IP): https://www.bortzmeyer.org/6698.html [FR] Tout récemment, l'épinglage des clés: https://www.bortzmeyer.org/7469.html [FR]
[5] Lien vers les explications de la personne ayant lancé l'audit interne dans CACert: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#239 [EN]. À lire aussi, le troll^W débat/discussion sur LinuxFR: http://linuxfr.org/news/firefox-32
Merci pour vos lumières :)
N'hésitez-pas à préciser/corriger/démentir, je ne prétends pas maîtriser ces techniques !
@+