Trop marrant: L'ANSSI (vous savez cette agence gouvernementale qui est censée œuvrer pour notre sécurité informatique) fournit un manuel aux entreprises pour leur expliquer comment casser le chiffrement HTTPS de leur salariés et les espionner.
Petit rappel: L'ANSSI est également une autorité de certification. Ils peuvent également générer des certificats qui seront acceptés par votre navigateur sans broncher. Ils ont même déjà gaffé en générant des certificats frauduleux *valides* pour Google qu'on a retrouvé... dans le proxy d'une entreprise. Oh tiens quel hasard.
http://sebsauvage.net/links/?_P48YQ
Alors oui on devrait leur faire confiance, mais ces deux informations croisées ne me rassurent pas du tout.
EDIT: Un de mes anciens employeurs avait fait ça:
http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol
Comme ils n'avaient pas de copains au gouvernement ni chez les CA Root, les admins avaient installé leur propre certificat racine dans tous les navigateurs des ordinateurs de la boîte pour ne pas lever d'alerte. Super élégant. ಠ_ಠ
Ce qui est cool, c'est que si vous bossez chez certaines grosses boîtes (certains FAI, banques, etc.), elles sont elles-même CA et peuvent donc faire du MITM SSL sans avoir à demander à qui que ce soit.
EDIT: Haha oui trop marrant. Le rapport de l'ANSSI préconise exactement ce que mon ancien employeur avait fait: Installer sur chaque ordinateur un certificat racine généré par l'entreprise elle-même.
(
Permalink)