Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

HTTPS Finder

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
15.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Signalé par Tourix sur le forum - Module retiré par son auteur.

HTTPS Finder détecte automatiquement et applique les connexions sous le protocole sécurisé HTTPS au lieu du protocole HTTP, chaque fois que cela est possible. HTTPS Finder fournit également la création en un seul clic de règles pour un autre module additionnel, qu'il est recommandé d'utiliser conjointement, HTTPS Everywhere .

HTTPS FinderHTTPS FinderHTTPS Finder

Le module n'existe plus

Le module a été retiré par son auteur.
Etat des modules de l'auteur

Raison non expliquée mais probablement à cause de mises à jour dans HTTPS Everywhere qui rendaient les règles générées par HTTPS Finder incompatibles.

Vous pouvez toujours modifier l'adresse de la page visitée, dans la barre d'adresse de n'importe quel navigateur, pour ajouter un S au protocole habituel HTTP et tenter de communiquer avec le serveur de cette page sous le protocole sécurisé HTTPS (remplacer http:// par https://).

Si cela fonctionne, tant mieux, sinon vous obtenez un message d'erreur du type "Cette connexion n'est pas certifiée" car le protocole HTTPS oblige le site, entre autre chose, a disposer d'un certificat, chose qui s'aquiert auprès d'une autorité de certification, dans une démarche commerciale (payante), ce que ne peuvent se permettre la majorité des webmasters de petits sites.

Mais ce qui précède arrive trop tard, car la connexion s'est déjà établie sous le protocole HTTP, et vous tentez de la modifier en HTTPS après coup.

Il est préférable de vérifier, avant d'établir la connexion, si le serveur et le domaine (le site) acceptent le protocole HTTPS. C'est ce que fait HTTPS Finder qui intercepte tout clic sur un lien que vous souhaitez suivre et commence par tenter une connexion en HTTPS. Si, et seulement si, le serveur accepte le protocole HTTPS et renvoie un certificat valide, la connexion est établie en HTTPS, sinon, le protocole HTTP est utilisé.

Le module additionnel HTTPS Finder envoie une petite requête HTTPS précédant chaque page HTTP vers laquelle vous naviguez.. S'il y a une réponse, la validité du certificat est vérifiée (toute erreur de certificat ne se traduira par aucune notification, et aucune autre demande de détection supplémentaires au cours de cette session). Si le certificat est valide, le protocole HTTPS est automatiquement appliqué (ceci ne peut être désactivé qu'en cas d'alerte uniquement, sans redirection), et l'utilisateur bénéficie d'une option pour enregistrer la règle générée, automatiquement, dans le module additionnel HTTPS Everywhere qu'il est vivement conseillé d'installer en compagnon de HTTPS Finder. Depuis la version 0.51 de HTTPS Finder, il est même possible (pour utilisateurs avancés uniquement) d'éditer, dans Firefox, la règle pour HTTPS Everywhere, avant de l'enregistrer.

NOTE DE SECURITE:
HTTPS Finder commence par chercher à établir une connexion sécurisée, SSL, dès que vous cliquez sur un lien ou commencez à naviguer vers une nouvelle page HTTP. Parce qu'une connexion HTTP est d'abord établie, votre cookie de session peut toujours être envoyé en clair (non chiffré) avant de basculer en SSL. Cela peut ne pas vous protéger entièrement contre les attaques de type "man-in-the-middle" (par exemple la révélation du contenu de vos cookies sur divers sites grace à l'outil Firesheep), mais permet de minimiser les chances que cela se produise.

HTTPS Finder détecte uniquement les réponses valides avec des certificats valides. Il ne garantit pas une mauvaise implémentation du protocole sécurisé SSL côté serveur.

HTTPS Finder est plus puissant lorsqu'il est utilisé côte-à-côte avec HTTPS Everywhere pour créer ensembles de règles adaptées à vos habitudes de navigation. Utilisé seul, c'est mieux que rien, mais avec HTTPS Everywhere il n'est plus nécessaire de commencer par établir une connexion HTTP pour vérifier si HTTPS fonctionne, pour tous les sites déjà répertoriés dans la base de données de HTTPS Everywhere. Dans ce cas, la connexion est directement établie en HTTPS.

Cours j't'attrape - l'escalade des mesures et contre-mesuresCours j't'attrape - l'escalade des mesures et contre-mesuresCours j't'attrape - l'escalade des mesures et contre-mesures

Contre-mesures à HTTPS !

  • Attaque « Homme du milieu » ("Man in the middle") - Nokia contre tous ses utilisateursAttaque « Homme du milieu » ("Man in the middle") - Nokia contre HTTPS et tous ses utilisateursAttaque « Homme du milieu » ("Man in the middle") - Nokia contre tous ses utilisateurs

    10.01.2013 - Attaque "Man-in-the-middle" conduite systématiquement par le fabriquant de smartphones Nokia et son navigateur pour smartphone Xpress Browser contre toutes les communications en HTTPS de tous les utilisateurs de ses Smartphones. La réponse laconique de Nokia laisse sans voix. En substance : "Oui, nous décryptons vos communication HTTPS mais ne vous inquiétez pas pour celà !".

    Cela concerne toutes les communications, incluant les établissements de connexions sécurisées vers les banques, les emails chiffrés, etc. ... 1; 2; 3; 4.

    Déclaration du chercheur Gaurang Pandya

    « D'après les tests effectués, il est évident que Nokia effectue une attaque « Man In The Middle » sur le trafic HTTPS sensible provenant de leurs téléphones et, donc, ils ont accès à des informations en texte clair incluant les identifiants de ses utilisateurs sur divers sites tels que les réseaux sociaux, les services bancaires, les informations de carte bancaires ou tout ce qui est sensible par nature. »

    Pour un cybercriminel (ce qu'est Nokia dans cette affaire) qui se fait prendre à décrypter HTTPS, combien le font en silence, à l'insu de tous ?...


  • Attaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPS

    Aucun « Permis de PC » n'existe et aucune information n'est réellement diffusée auprès des utilisateurs (les banques ont quelques pages d'information peu accesibles et peu utiles). La raison en est qu'il n'est pas question de faire peur aux « clients » avec les risques du Web. Cela risque de fraîner le développement des services sur le Web et le développement tous azimuts de l'industrie informatique. En conséquence :

    • Il est rare qu'un internaute surveille le protocole utilisé pour naviguer sur un site Internet.
    • Il est rare qu'un internaute sache ce qu'est HTTPS par rapport à HTTP.
    • Il est rare qu'un internaute sache ce qu'est un certificat d'authentification.

    Il faut pourtant bien comprendre que « Le Web, c’est dangereux ».

    Un chercheur en sécurité et insécurité informatique connu sous le pseudo de « Moxie Marlinspike » a présenté à la conférence Black Hat de février 2009, une démonstration d'une attaque relativement simple contre HTTPS. Il a compromis un dispositif (un " proxy ") se trouvant sur le chemin vers un serveur utilisant HTTPS et a remplacé à la volée le protocole HTTPS en HTTP, avec imitation de l'icône de confiance (le cadena fermé), tout en laissant croire au serveur et au client (avec un faux certificat), que tout le trafic est en HTTPS. Les données très privées (comptes, cartes bancaires, etc. ...) envoyées par les internautes le sont en clair, sans aucun chiffrement. Il suffit de les lire, en clair, sur le proxy, tandis qu'elles transitent vers le serveur du site visité par l'internaute piégé.

    Les transparents (slides) utilisés lors de cette conférence

    Les mêmes transparents (slides) avec la bande son de ses commentaires (en anglais) présentant son attaque, appelée sslstrip (1 h 09').

    Cette attaque est maintenue à jour (dernière modification notée : 15 mai 2011) et a son code en Open source et un développement public sur github.

  • Attaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPS

    20.09.2013 - Le magazine Der Spiegel révèle que l'agence britannique de surveillance des communications espionnait, depuis 2010, le principal opérateur téléphonique belge, l'entreprise d'état Belgacom, qui a notamment comme clients la Commission Européenne, le Conseil Européen et le Parlement Européen. Sous le nom de code "Operation Socialist", le GCHQ a infiltré le réseau informatique interne de cette entreprise à l'aide de Chevaux de Troie portant le nom de "Quantum Insert". Cette opération visait notamment la filiale BICS de Belgacom, qui a comme autres actionnaires l'opérateur suisse Swisscom et l'opérateur sud-africain Telekomkonzern. L'objectif principal de ce cyber-espionnage était d'être capable de surveiller le contenu de communications de "cibles" utilisant des smartphones, grâce à une technique appelée "Man-in-the-Middle". Voir Prism et compagnie.

    Le 4 octobre 2013, le Guardian révèle, avec le support de l'expert en sécurité informatique Bruce Schneier, que la NSA et le GCHQ ont déployé sur internet un réseau secret de "serveurs" (nom de code Quantum), capables d'intercepter les requêtes adressées à des sites internet par des personnes ciblées. L'interception du flux est rendu possible grâce aux partenariats avec les opérateurs internet qui permettent aux agences de placer leurs serveurs aux points névralgiques du réseau internet. Ce dispositif est complété par un deuxième réseau secret de serveurs (nom de code FoxAcid) capables d'injecter un logiciel malveillant dans la requête internet. Ainsi, avec cette technique de détournement appelée "Man-in-the-middle", un internaute ciblé navigue sans se rendre compte qu'un logiciel malveillant s'est installé à son insu sur son équipement en exploitant une vulnérabilité.


Voir les révélations d'Edward Snowden.


Contre-mesures à Capcha !
Les " Turing porn farm ";


RessourcesRessourcesRessources

Le projet est Open Source et est déposé à https://code.google.com/p/https-finder/

 RequêtesRequêtesRequêtes