réseau aéroport

Le
laurent
Bonjour,

juste une question qui me passe par la tête. J'essayais tout à l'heure
depuis un réseau d'aéroport de me connecter à mon serveur perso en
https. Le navigateur lève une exception comme quoi l'identité n'est pas
reconnue. Je lis le certificat et je m'aperçois qu'en fait le port 443
est détourné pour passer par je suppose leur proxy transparent avec
fatalement leur propre certificat.

Well, sachant que lorsque je passe en https c'est justement pour être
sûr que personne ne lise mes communications, est-ce qu'on ne peut pas
assimiler ça à une attaque de type man in the middle ou de violation de
correspondance privée ? Car à aucun moment il n'est spécifié que le
fournisseur internet se réserve le droit de lire les correspondances
Or là il essaye de le faire sans me prévenir en sachant pertinemment que
je voulais garder ces échanges cachés

Voilà c'est juste pour parler hein :)

Laurent
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cyprien Nicolas
Le #25727192
Salut,

Le 17/10/2013 18:19, laurent écrivit :
Bonjour,

juste une question qui me passe par la tête. J'essayais tout à
l'heure depuis un réseau d'aéroport de me connecter à mon serveur
perso en https. Le navigateur lève une exception comme quoi
l'identité n'est pas reconnue. Je lis le certificat et je m'aperçois
qu'en fait le port 443 est détourné pour passer par je suppose leur
proxy transparent avec fatalement leur propre certificat.



Ça peut être leur portail captif aussi, lors du premier établissement
d'une connexion HTTP (vu que tu ne l'as pas précisé ?!).

Well, sachant que lorsque je passe en https c'est justement pour
être sûr que personne ne lise mes communications, est-ce qu'on ne
peut pas assimiler ça à une attaque de type man in the middle ou de
violation de correspondance privée ? Car à aucun moment il n'est
spécifié que le fournisseur internet se réserve le droit de lire les
correspondances ...



L'aéroport n'est pas FAI, et à ce titre n'est pas soumis aux obligations
des FAI. Il propose un service que tu es libre d'utiliser ou pas,
surtout s'il est gratuit. Et s'il est payant, ya des conditions
particulières à lire ;-)

Estime-toi heureux que ton navigateur vérifie le certificat et t'affiche
ce message. Sache que beaucoup d'applications soit qui utilisent
d'autres protocoles (certains client mails par exemple), ou des
applications mobiles ne vérifient pas le domaine du certificat, et donc
croient naïvement la connexion comme sure.

Une lecture intéressante (en anglais) https://lwn.net/Articles/522111/

--
« Ceci n'est pas une signature. » — René Magritte (Apocryphe)
Ascadix
Le #25728002
Cyprien Nicolas a exprimé avec précision :
Salut,

Le 17/10/2013 18:19, laurent écrivit :
Bonjour,

juste une question qui me passe par la tête. J'essayais tout à
l'heure depuis un réseau d'aéroport de me connecter à mon serveur
perso en https. Le navigateur lève une exception comme quoi
l'identité n'est pas reconnue. Je lis le certificat et je m'aperçois
qu'en fait le port 443 est détourné pour passer par je suppose leur
proxy transparent avec fatalement leur propre certificat.



Ça peut être leur portail captif aussi, lors du premier établissement
d'une connexion HTTP (vu que tu ne l'as pas précisé ?!).

Well, sachant que lorsque je passe en https c'est justement pour
être sûr que personne ne lise mes communications, est-ce qu'on ne
peut pas assimiler ça à une attaque de type man in the middle ou de
violation de correspondance privée ? Car à aucun moment il n'est
spécifié que le fournisseur internet se réserve le droit de lire les
correspondances ...



L'aéroport n'est pas FAI, et à ce titre n'est pas soumis aux obligations
des FAI. Il propose un service que tu es libre d'utiliser ou pas,
surtout s'il est gratuit. Et s'il est payant, ya des conditions
particulières à lire ;-)

Estime-toi heureux que ton navigateur vérifie le certificat et t'affiche
ce message. Sache que beaucoup d'applications soit qui utilisent
d'autres protocoles (certains client mails par exemple), ou des
applications mobiles ne vérifient pas le domaine du certificat, et donc
croient naïvement la connexion comme sure.

Une lecture intéressante (en anglais) https://lwn.net/Articles/522111/




Ben tiens ... v'la un gars qui va se faire lyncher à oser écrire que
les implémentations.utilisations de OpenSSL, Apache,etc .. c'est pas
"Secure-by-design"

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Publicité
Poster une réponse
Anonyme