AntoineForum141
2022-04-24 15:26:48
SANS VPN
Avec HTTPS
Le FAI Connaît :
- IP du site cible
- Taille des données échangées (chiffré)
- Heure de la requête
Le FAI ne connaît pas :
- Les données échangées au serveur (URL complète, header, formulaires, code source...)
Le FAI est susceptible de connaître :
- Le nom de domaine (pas l'URL complète) si : DNS du FAI utilisé ; ancienne version de HTTPS utilisant SNI au lieu de eSNI ; ou serveur utilisant OCSP au lieu de SCVP
Des MITM potentielles :
- En cas de non-activation de HSTS de la part d'un webmaster, si l'utilisateur n'est jamais allé sur le site (en cache), si l'utilisateur ne tape ou n'est pas redirigé par https:// il peut y avoir un renvoi vers un serveur non-HTTPS et connexion non sécurisée
- Même principe que ci-dessus en cas de non-activation de la part du webmaster de HSTS preload et si l'utilisateur n'est jamais allé sur le site (la différence est qu'avec HSTS preload, l'utilisateur est protégé même s'il n'est jamais allé sur le site)
- Renvoi d'un faux certificat établi par une autorité racine enregistrée dans le navigateur / OS, soit par des pressions légales à une CA, soit par le Microsoft Root Program qui a attribué des certificats à des gouvernements, installé par défaut sous tous les OS Windowshttps://image.noelshack.com/fichiers/2022/16/7/1650806055-govtownedcas.pnghttps://unmitigatedrisk.com/?p=181
Cela permet donc d'aboutir à une MITM totale et donc une connexion, bien qu'apparaissant comme HTTPS, en réalité non sécurisée car vous communiquez avec l'attaquant
Contre-mesure : vérifier le hash du certificat à partir de plusieurs routes dans le monde pour contrecarrer le faux renvoi d'une MITM ; vous pouvez aussi supprimer le certificat du Mirosoft Root Program (certmgr.msc) mais cela ne vous protégera pas d'une éventuelle malhonnêteté des autres CA / CAs, contrairement à la première solution
Sans HTTPS
- Aucune sécurité à attendre
AVEC VPN
Avec HTTPS
Le FAI connaît :
- l'IP (du premier saut si multi-saut) que vous utilisez pour communiquer avec le VPN (qui n'est pas nécessairement la même que celle de sortie / utilisée pour contacter la cible finale)
- Selon le protocole VPN utilisé, la taille ou l'intervalle des requêtes peut trahir l'utilisation de certains protocoles
| Avec HTTPS, le fournisseur VPN ne connaît pas votre activité (voir tout début du topic, SANS VPN -> Avec HTTPS pour voir ce que le fournisseur VPN connaît)
Sans HTTPS
Le FAI n'en sait pas plus qu'avec HTTPS
| Le fournisseur VPN connaît votre activité (voir le tout début du topic, SANS VPN -> Sans HTTPS)