4. Disclaimer
Nous déclinons toute
responsabilité concernant l'usage
des outils énoncés par des
personnes mal intentionnées.
Nous vous rappelons qu'il est
interdit par la loi tunisienne de
s'introduire sur un réseau sans
l'accord (écrit) de son propriétaire.
17. Secure Socket Layer
● SSL s'implémente au dessus
de plusieurs protocoles :
HTTP, FTP...
● Le but de l'authentification serveur
est de:
- Vérifier l'identité du serveur
- Sécuriser la communication
19. SSL HandShaking
Coté Client
-Le client envoie au serveur les données nécessaires pour
établir le premier contact:
● Numéro de la version SSL
● Paramètres de chiffrement
20. SSL HandShaking
Coté Serveur:
-S'identifier à travers un certificat (CA)
-Choisir une méthode de chiffrement parmi celles supportées par le
client
-Envoyer une clef publique au client
21. SSL HandShaking
Coté Client
-Authentifier le serveur
-Générer une clef symétrique (clef de session)
-Crypter la clef de session
-Envoyer la clef cryptée au serveur
36. Comment arrivent-on sur du https?
Les 2 façons d'arriver sur du https (de manière
classique) sont les suivantes:
-en cliquant sur un lien
-en suivant une redirection
41. SSLStrip : le principe -1-
requête page facebook requête page facebook
1- Le client (victime) demande la page facebook.com
Le MITM transmet cette requête au serveur
42. SSLStrip : le principe -2-
requête page facebook requête page facebook
Page d'authentification http, Page d'authentification http,
bouton http incorporé bouton https incorporé
2- Le serveur facebook retourne la page d'authentification
Le MITM intercepte cette page, transforme tout les
liens/redirections https en http, et renvoi le résultat au client
44. SSLStrip : le principe -3-
Authentification en clair Authentification HTTPS
Page facebook Page facebook
3- Le client s'authentifie en HTTP
Le MITM intercepte les paramètres en clair, s'authentifie avec
ces paramètres la, et renvoi le résultat au client
45. Résultat des courses
Pour le serveur, la connexion
●
est encryptée, donc tout se passe bien
Le client ne voit aucun message
●
d'alerte dans son navigateur
(les certificats n'entrent pas en jeu)
L'attaquant ''sniffe'' toutes les
●
données du client qui transitent en clair
47. Solutions
●Vérifier le code source de la page d'authentification
(??)
Forcer le https en ajoutant un 's' dans l'URL
●
Et éviter le MITM !
●
48. Conclusion
Protocole ARP défaillant => possibilité de MITM
Protocole SSL : solution
''Mauvaise'' implémentation de cette solution sur les
sites web
49. Liens utiles
Télécharger SSLStrip (et autres)
http://www.thoughtcrime.org/software/sslstrip/
A propos de SSLStrip
http://www.crack-wpa.fr/tutoriel-sslstrip-hijacking-ssl-mitm-https.php
A propos de l'ARP Poisoning & Sniffing
http://www.irongeek.com/i.php?page=security/AQuickIntrotoSniffers
http://sid.rstack.org/arp-sk/article/arp.html