Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Vulnérabilités

Уязвимые

D'autres publications de cette rubrique (22)
  • Ajouter aux favoris
    Ajouter aux favoris

Sécurité illusoire

Lu par: 22459 Commentaires: 2 Cote de popularité: 43

vendredi 4 novembre 2016

« A un faux ami, nous préférons un ennemi ».

Friedrich Engels

Des fuites de données de la base de données d'un site web représentent un danger pour les utilisateurs. Dans les rubriques "FAQ" de nombreux sites, vous trouverez des garanties de sécurité : utilisez, il n'y a rien à craindre.

L'utilisation de SSL sert d’argument de sécurité.

« Vos données sont en toute sécurité. » « Ce site utilise un protocole SSL cryptographique et un chiffrement 128 bits, ce qui élimine la possibilité que des pirates puissent avoir accès à vos informations. » Ne vous inquiétez de rien !

Mais utiliser SSL n'est pas la panacée !

Oui, les données transmises du navigateur (autrement dit, depuis votre ordinateur) vers le serveur web du site sont en sécurité.

Mais la sécurité de SSL n'est qu'un mythe, et un mythe dangereux. Le chiffrement du canal ne protège pas en cas de substitution du certificat côté fournisseur au moment du transfert, ou dans le cas d'une interception du trafic côté ordinateur (également suite à une substitution de certificat).

Un certificat SSL valide, émis pour le domaine attaqué, permet d'effectuer une attaque invisible de l'utilisateur de type " attaque de l'homme du milieu " (HDM) ou " man-in-the-middle attack " (MITM). Cela exige qu'il y ait, entre l'utilisateur ciblé et le serveur, un nœud contrôlé par l'attaquant et qui intercepte activement le trafic. Ce nœud se présente comme serveur légitime, présentant le même certificat valide.

L'interception de la connexion HTTPS peut être automatisée, il existe des nœuds proxy spécialisés (SSL-proxy), qui effectuent l'interception à la volée, y compris la génération des certificats nécessaires. Un tel proxy doit avoir un certificat et une clé priveée permettant de signer d'autres certificats (par exemple, le certificat intermédiaire que l'on appelle CA délivré à ces fins).

"L'homme du milieu" ne fonctionne pas pour HTTPS avec certaines mesures supplémentaires: par exemple, l'établissement d'une connexion TLS nécessite une authentification mutuelle, et la clé client privée (ou les clés CA confirmant la clé client) est indisponible pour le nœud d'interception, ou le navigateur de l'utilisateur tient un registre des empreintes des clés publiques du serveur à qui il fait confiance, soit l'utilisateur applique d'autres sources d'informations sur les clés autorisées et les certificats qui sont indisponibles pour la substitution sur le nœud d'interception (une telle source peut être représentée par DNS ou par une autre base de données).

La plupart des services utilisent SSL : termination : dans ce cas, le trafic HTTPS de l'utilisateur sous forme chiffrée va seulement jusqu'à un proxy de frontière, où il est transformé en HTTP qui circule ultérieurement via des réseaux internes (dans le sens logique, et non pas technique) de services en clair. C'est une pratique courante, car un flux HTTPS total, avec un nombre croissant de clients, se transforme rapidement en une technologie lourde et peu adaptable. Si le système d'inspection du trafic se trouve à l'intérieur des réseaux de services, derrière le proxy SSL, aucun HTTPS ne peut l'empêcher. Le trafic interne des services distribués peut facilement circuler entre les nœuds et les centres de données via des canaux loués auprès de grands opérateurs en clair, ce trafic peut être écouté, bien que pour l'utilisateur, il ressemble à une connexion HTTPS.

https://dxdt.ru/2013/08/02/6066/

Et voici l'essentiel : si un programme malveillant tourne déjà sur l'ordinateur et qu'il a accès au navigateur, le protocole HTTPS s'avère également inutile, car les données peuvent être interceptées avant d'atteindre le canal crypté. La même chose est vraie du côté serveur.

D'autre part, l'avertissement du navigateur sur " une connexion non sécurisée " ne signifie pas nécessairement que vous êtes exposé à un danger.

Nous savons que des erreurs peuvent survenir lors de l'utilisation de produits. Prenons, par exemple, le très populaire site de Microsoft, Microsoft.com. Ouvrez-le dans un navigateur, tapez n’importe quelle requête dans la barre de recherche pour accéder à cette ressource via HTTPS ... Oh, qu'est-ce qui se passe ?

Le certificat utilisé par le site a été généré pour des domaines de troisième niveau, c'est pourquoi le navigateur est d'abord un peu surpris puis effrayé, enfin il conseille à l’utilisateur : " Vous devez quitter ce site immédiatement ! ". Ah-ah-ah-ah, on file vite !

http://blogs.drweb.com/byvaet-i-takoe/

Si vous n'avez pas l'intention de transférer des informations, vous n'avez pas besoin d'utiliser SSL ! Par contre, pour un pirate qui propage des virus depuis un site, la disponibilité d'un canal chiffré est un beau cadeau. Car l'antivirus n'est pas en mesure de scanner le trafic chiffré, le fichier malveillant peut donc facilement pénétrer dans le système.

Les composants Dr.Web SpIDer Mail et Dr.Web SpIDer Gate sont capables de scanner le trafic chiffré.

Il arrive que l'administration d'un site raconte avec fierté des scans web quotidiens et automatiques.

« Notre site est tous les jours scanné par un scanner web pouvant détecter tout malware et les vulnérabilités connues. Nous ne laissons aucune chance aux attaquants, mais si un miracle se produit, nous seront les premiers à l'apprendre et nous seront capables de prendre des mesures appropriées.

À leur tour, les scanners de logiciels malveillants, qui vérifient directement le site, peuvent détecter toutes les menaces connues. » Mais s'il n'y a pas de contrôle du serveur qui héberge le site, la sécurité est illusoire, parce qu'actuellement, on voit de plus en plus de Trojans ciblant Linux (un système d'exploitation, souvent utilisé pour construire des sites). En ce qui concerne les vulnérabilités connues, s'il était possible de les exploiter en mode automatique, le site aurait pu déjà être piraté.

Les outils sont efficaces dans des mains habiles !

Le projet Lumières sur la sécurité recommande

Si vous êtes un utilisateur :

  • Méfiez-vous des assurances des sites concernant la sécurité de vos données, de nombreuses fuites de données personnelles ont déjà montré que les sites ainsi que des PC sont également soumis à des attaques réussies.
  • Surtout ne paniquez pas lorsque vous recevez des avertissements vous proposant de cesser d'utiliser un service immédiatement, essayez de comprendre où est le problème indépendamment ou avec l’aide d’un professionnel.
  • Il faut tenir compte du fait que : la probabilité pour que les données que vous transmettez sur Internet puissent être accessibles à des tiers est toujours différente de zéro.

Si vous êtes un webmaster : seul un logiciel antivirus résident sera en mesure de détecter un Trojan sur votre ordinateur, surtout si le serveur tourne sous Linux !

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires