SSL/TLS is powned
En clair, l’Agence nationale de la sécurité des systèmes d’information française peut se faire passer pour Google et écouter/modifier le traffic chiffré par SSL entre vous et Google sans activer aucune alerte (cadenas toujours vert dans Firefox, SSL actif).
La faute au tiers de confiance du principe d’SSL. On fait confiance à tous les certificats signés par les autorités de certifications fournies avec notre OS ou notre navigateur. Comme le montre la réponse boiteuse de l’ANSSI. Et parmi celles-ci il y a des gouvernements (Japanese Government, ), des entreprises de télécommunication (AOL, Swisscom), beaucoup de sociétés américaines (Verisign, Thawte), etc… La blague.
Je l’avais déja expliqué ici et là .
Un moyen de protection bancal contre ça est de vérifier si le certificat pour tel site a changé depuis notre dernière visite. Mais ca part du principe que la première connexion s’est faite sans MITM. De plus, les serveurs Google n’ont pas tous le même certificat, donc vous êtes submergés de fausses alertes.
