Fiche de rendement des autorités de certification : examen des fondements de la protection des données sur le Web

Organisation

Université Concordia

Publication

2016

Chargée de projet

Jeremy Clark, professeur adjoint
Mohammad Mannan, professeur adjoint

Sommaire

Pour filtrer le trafic protégé par un protocole SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), certains antivirus et certaines applications de contrôle parental interpose un serveur mandataire TLS au sein des communications de l'hôte. Les chercheurs ont entrepris d'analyser ce type de serveurs mandataires, en raison des problèmes connus que posent d'autres moteurs de traitement TLS (plus évolués), comme les navigateurs et les bibliothèques TLS communes.

Puisque les serveurs mandataires TLS clients imposent plusieurs contraintes particulières inexistantes dans le cas des serveurs mandataires courants, il faut les analyser de manière à détecter des vecteurs d'attaque supplémentaires; p. ex., il se peut que les serveurs mandataires fassent confiance pour la livraison de contenu externe à leurs propres certificats racines et s'en remettent aux autorités valides de certificat entreposé dans l'ordinateur (contournant ainsi le stockage dans le système d'exploitation et le navigateur).

Les chercheurs ont conçu un cadre intégré pour analyser ce type de serveurs en portant attention aux vecteurs d'attaque existants et nouveaux. Ce cadre leur a permis d'analyser en profondeur huit antivirus et quatre applications de contrôle parental conçus pour Windows qui font office de serveurs mandataires de TLS ainsi que deux autres produits pour lesquels les fournisseurs se contentent d'importer des certificats racines.

À l'issue d'une analyse systématique, les chercheurs ont constaté que plusieurs de ces outils réduisent gravement la sécurité TLS sur les appareils hôtes. Ils ont notamment découvert que quatre produits sont vulnérables à l'usurpation de l'identité du serveur en cas d'" attaque de l'homme du milieu " (MITM ou man-in-the-middle) active sans aucune intervention et que deux autres sont vulnérables lorsque le filtrage TLS est activé. De plus, plusieurs de ces outils amènent les navigateurs à croire que certaines connexions TLS sont plus sûres qu'elles ne le sont réellement, par exemple en mettant artificiellement à niveau la version TLS d'un serveur dans les paramètres du navigateur. La recherche vise à mettre en lumière de nouveaux risques découlant de l'utilisation d'outils d'interception TLS, dont des millions de personnes pourraient se servir.

Ce document est disponible dans la langue suivante :

Anglais

Recherche subventionnée par le Commissariat à la protection de la vie privée du Canada

Ce projet a reçu un soutien financier dans le cadre du Programme des contributions du Commissariat à la protection de la vie privée du Canada. Les opinions exprimées dans les rapports et les sommaires sont celles des auteurs et ne reflètent pas nécessairement l’opinion du Commissariat à la protection de la vie privée du Canada. Les sommaires ont été fournis par les auteurs des projets. Veuillez noter que les projets sont publiés dans leur langue d’origine.

Coordonnées

1455, boulevard de Maisonneuve Ouest
Montréal (Québec)
H3G 1M8

Téléphone : 514-848-2424
Site Web : https://www.concordia.ca/fr.html

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :