CheckMyHTTPS a été développée suite aux constats suivants

Avant de transférer des flux chiffrés (HTTPS), un serveur web justifie son identité auprès de votre navigateur par l’envoi de son certificat de sécurité (sa carte d'identité) Cf. phase 1 du shéma ci-dessous. Ce certificat a été préalablement validé (signé) par une autorité de certification reconnue par votre navigateur.
Pour fonctionner, les techniques d'interception de type "homme du milieu" (Man In The Middle - MITM) génèrent dynamiquement de faux certificats non validés par une autorité reconnue. Des scénarios existent néanmoins pour forcer votre navigateur à accepter ces faux certificats (3 d'entre-eux vous sont présentés ci-après). CheckMyHTTPS permet de vérifier que le certificat que vous recevez est bien celui qui a été émis par le serveur.

addon

Constat 1

Plusieurs équipements de sécurité déployés dans les entreprises (pare-feux, proxy, systèmes de prévention d'intrusion, etc.) intègrent une fonctionnalité leur permettant d’inspecter les flux chiffrés SSL/TLS (HTTPS, POP3S, SMTPS, xxxxS).
Quand cette fonctionnalité est activée (parfois par défaut), tous les flux sécurisés sortants de l'entreprise sont déchiffrés par cet équipement. Dans le cadre du respect de la vie privée, cette fonctionnalité doit être connue des utilisateurs (via la signature d'une charte informatique par exemple).

Exemple avec un pare-feu FortiGate®

L'administrateur peut activer l'inspection SSL/TLS dans l'interface de configuration du pare-feu. Pour éviter que les navigateurs ne réagissent, le certificat du pare-feu aura été déployé au préalable sur les ordinateurs du réseau local (via une GPO par exemple).

addon

Le pare-feu peut alors stocker les données en clair. Celles-ci peuvent être consultées/extraites (sans votre accord) par l'administrateur.

addon

Dans l'exemple ci-dessous, le module "CheckMyHTTPS" du navigateur a détecté (cadenas rouge) que le certificat reçu par 'Microsoft-Outlook'® (forgé dynamiquement par le pare-feu) diffère de celui que le serveur de courrier a envoyé (login.live.com). C'est donc la preuve d'une interception SSL/TLS.

addon

Constat 2

Les techniques d'interception malveillantes de flux chiffrés sont aujourd'hui matures et documentées. Ainsi, un pirate connecté sur le même réseau local que vous (filaire ou WIFI), qu'il soit domestique ou d'entreprise, peut exploiter ces techniques pour intercepter, analyser ou modifier vos flux sécurisés. Pour éviter que votre navigateur ne s'aperçoive que les certificats sont des faux, il va préalablement tenter de vous présenter des pages WEB vous incitant à installer son autorité de certification. Si son attaque fonctionne, CheckMyHTTPS détectera tout de même l'interception SSL/TLS et affichera un cadenas rouge.

addon

Constat 3

Plusieurs antimalwares (ou EDR/XDR) installés sur les ordinateurs/GSMs tels que Avast!® ou Kaspersky® interceptent et déchiffrent vos flux sécurisés SSL/TLS. Les éditeurs de ces logiciels justifient ce comportement par le besoin de protection, même à l'intérieur des flux chiffrés. Cela permet ainsi à leurs logiciels d'accéder en clair à vos données protégées. Pour éviter que les navigateurs ne réagissent à cette technique locale d'interception de type MITM, ces logiciels ont ajouté leur autorité de certification dans les navigateurs lors de leur installation.

Exemple avec Avast!®

avast avast

Exemple avec Kaspersky®

avast avast