Cette méthode de détection a été développée suite aux constats suivants

Constat 1

La grande majorité des produits de sécurité déployés dans les entreprises (pare-feu, système de prévention d'intrusion, etc.) intègrent la fonctionnalité d’inspection de flux chiffrés SSL/TLS (flux exploités dans les protocoles HTTPS, POP3S, SMTPS, xxxxS).
Quand cette fonctionnalité est activée (parfois par défaut), tous les flux sécurisés sortants de l'entreprise sont déchiffrés par cet équipement. Dans le cadre du respect de la vie privée, cette fonctionnalité doit être connue des utilisateurs (via la charte informatique par exemple).

Exemple avec un pare-feu FortiGate®

L'administrateur peut activer l'inspection SSL dans l'interface de configuration du pare-feu. Au préalable, le certificat du pare-feu aura été déployé sur les ordinateurs du réseau (via une GPO par exemple) afin de supprimer les fenêtres d'alertes dans les clients de messagerie et les navigateurs WEB.

addon

Le pare-feu peut alors stocker les données en clair. Celles-ci peuvent être consultées (sans votre accord) par l'administrateur.

addon

Notre méthode permet de mettre en évidence cette pratique. Dans l'exemple ci-dessous, le module "CheckMyHTTPS" du navigateur a détecté (icône rouge) que le certificat reçu par 'Microsoft-Outlook'® (forgé dynamiquement par le pare-feu) diffère de celui que le serveur de courrier a envoyé (login.live.com). C'est donc la preuve d'une interception SSL.

addon

Constat 2

Les techniques pirates d'interception de flux WEB chiffrés sont aujourd'hui matures et documentées. Ainsi, un utilisateur malvaillant connecté sur un réseau local filaire ou WIFI non sécurisé, qu'il soit domestique ou d'entreprise, peut exploiter ces techniques pour intercepter, analyser ou modifier les flux sécurisés. Dans ce cas, la méthode "CheckMyHTTPS" détectera aussi l'interception SSL et affichera un icônes rouge.

addon

Constat 3

Certains antivirus tels que Avast!® ou Kaspersky® interceptent et déchiffrent vos connexions sécurisées. Les éditeurs de ces antivirus justifient ce comportement par le besoin de protection, même dans les flux chiffrés. Cela permet ainsi à leurs logiciels d'accéder en clair à vos données protégée. Nous attirons l'attention sur le fait qu'un antivirus est connecté en permanence au site de son éditeur (ne serait-ce que pour recevoir ses mises à jour).

Exemple avec Avast!®

avast avast

Exemple avec Kaspersky®

avast avast