Cette extension a été développée suite aux constats suivants

Constat 1

Aujourd'hui, une grande majorité de produits de sécurité déployés dans les entreprises (pare-feu, système de prévention d'intrusion, etc) intègrent la fonctionnalité d’inspection de flux chiffrés SSL (utilisée dans les protocoles HTTPS, POP3S, SMTPS, xxxxS).
Cette fonctionnalité est parfois activée par défaut. Par conséquent, tous les flux sécurisés sortants de l'entreprise sont déchiffrés sans que les utilisateurs n'en soient informés.
Dans le cadre du respect de la vie privée, cette fonctionnalité doit être connue des utilisateurs qui pourront réagir en conséquence. Cela se traduit généralement par la signature d'une charte informatique.

Exemple avec un pare-feu FortiGate

La configuration de FortiGate par l'administrateur est la suivante. Il suffit dans un panneau de configuration d'appliquer à un filtre l'inspection SSL. Au préalable, le certificat utilisé pour l'inspection des flux web chiffrés aura été déployé sur les ordinateurs du réseau de manière à supprimer les alertes liées aux certificats autosignés.

addon

On peut maintenant remarquer les logs de l'ordinateur visé par l'inspection SSL. Il est aussi possible d'accéder aux paquets plus précisément pour récupérer des mots de passe par exemple.

addon

Notre extension permet de mettre en évidence cette pratique. On voit que le certificat présenté par Outlook est en réalité celui de FortiGate. En haut à gauche, CheckmyHTTPS nous montre clairement par sa couleur rouge que le certificat présenté par Outlook diffère de celui que le client voit. C'est donc la preuve d'une interception SSL.

addon

Constat 2

Les techniques d'interception de flux WEB chiffrés sont aujourd'hui matures, disponibles et de plus en plus simples à exploiter. Ainsi, un pirate connecté sur un réseau local non sécurisé, qu'il soit domestique ou d'entreprise, peut assez facilement exploiter ces techniques pour intercepter, analyser ou modifier ces flux sécurisés. Nous avons effectué une interception SSL en utilisant des outils comme "sslsplit" ou "arpspoof" sur une connexion WIFI. CheckmyHTTPS détecte une interception SSL par son cadenas de couleur rouge.

addon
addon

Constat 3

Par défaut, des antivirus tels que Avast! ou Kaspersky interceptent et déchiffrent vos connexions sécurisées. Les éditeurs de ces antivirus avancent vouloir protéger l'utilisateur du contenu malveillant pouvant être trouvé sur internet. Cela permet cependant à leurs logiciels d'être capables de lire vos connexions chiffrées (rappel : un antivirus est connecté en permanence sur le site de l'éditeur, ne serait-ce que pour recevoir ses mises à jour).

Ci-dessous, les captures d'écran de l'extension "CheckMyHTTPS" mettant en évidence ces pratiques :

Exemple avec Avast!

avast avast

Exemple avec Kaspersky

avast avast