Question:
Comment être sûr que j'utilise le vrai Facebook?
again
2017-12-01 19:21:26 UTC
view on stackexchange narkive permalink

Je tape www.facebook.com dans la barre d'adresse de mon navigateur et j'appuie sur Entrée, puis j'utilise Facebook.

Pourrais-je visiter un faux Facebook même si je vois une URL de https://www.facebook.com et une icône de verrouillage à côté de la barre d'adresse?

Hmmmmm ... Comment pouvez-vous être sûr que vous utilisez le vrai Security StackExchange et non quelque chose de mis en place pour vous tromper en vous fournissant de fausses réponses?Même s'il s'agit du véritable Security StackExchange, comment pouvez-vous être sûr que les réponses que vous obtenez sont bonnes et ne sont pas approuvées par de nombreuses marionnettes de viande?À la fin de la journée, vous devez progressivement créer vous-même une base d'informations fiable, évaluer chaque élément d'information (y compris tous ceux de ce fil) de manière critique, puis tirer vos propres conclusions.De même, comment pouvez-vous être sûr qu'il n'y a pas de porte dérobée intentionnelle dans votre navigateur ???
De plus, Lenovo a déjà installé un faux certificat qui permet à tout attaquant de décrypter toutes vos connexions HTTPS (http://arstechnica.com/security/2015/02/lenovo-pcs-ship-with-man-in-the-middle-adware-qui-rompt-les-connexions-https).Dell a fait la même stupidité un peu plus tard (https://www.extremetech.com/computing/218437-dell-laptops-may-have-a-lenovo-superfish-size-security-problem).
Vous pouvez également envisager de désactiver tous les certificats qui utilisent des clés de 1024 bits ou moins ou qui ne figurent pas dans la liste des certificats CA inclus dans Mozilla (https://mozillacaprogram.secure.force.com/CA/IncludedCACertificateReport), et également désactiver les certificats StartCom (https: //www.theregister.co.uk/2017/07/07/google_ban_hammer_drops_on_wosign_startcom_in_two_months).
Une pensée intéressante est soulevée par un de mes collègues qui dit que sa connexion à domicile est annoncée à 200 Mbps mais que son PC n'a qu'une carte réseau de 100 Mbps.Quand il utilise fast.com, il voit environ 80 Mbps, quand il utilise speedtest.net, il voit 200 Mbps.Je me demande si son FAI lui donne sa propre version de speedtest qui montre toujours le taux annoncé.Je ne nomme pas le FAI parce que je n'en ai pas été témoin moi-même, donc je ne veux pas faire d'hypothèses ou de prétentions à cet effet.Mais je suppose qu'en théorie c'est possible, et on ne peut vraiment rien y faire
@user21820 espérons que les réponses ici donneraient une certaine justification, et pas seulement un "oui" ou un "non".
Même si vous utilisez le vrai Facebook, comment pouvez-vous être sûr que Facebook n'est pas seulement un site de phishing pour le * vrai * réseau social, Facebok?
Les messages semblent-ils insipides et stupides?Si c'est le cas, c'est probablement le vrai Facebook.
@PaŭloEbermann: Bien sûr;nous évaluons la fiabilité de tout, pas sur une échelle binaire.Mais le fait est que nous devons tout évaluer et que nous ne pouvons pas nous contenter de demander à Security SE en attendant que les réponses nous révèlent des faits.=)
Je suggérerais d'utiliser l'application Facebook officielle, mais vous aurez alors deux (ou plus) problèmes ...
@darrenH: ou peut-être son FAI est directement lié (ou même héberge) le site Web de ce site particulier?
Comment pouvez-vous être sûr que vous utilisez le vrai Facebook et non un côté ombragé conçu pour collecter vos données personnelles et les vendre aux annonceurs?Oh, attendez...
Sept réponses:
Monica Apologists Get Out
2017-12-01 20:52:32 UTC
view on stackexchange narkive permalink

Vous pouvez confirmer que vous êtes sur le vrai Facebook de différentes manières:

  1. Inspectez le certificat utilisé pour sécuriser le site. Ouvrez votre certificat (les instructions varient selon le navigateur) et voyez ce qu'il dit - est-il délivré à Facebook? Est-ce dans une période de temps valide? Maintenant, regardez qui a signé ce certificat, encore une fois, tournez un œil critique vers lui. Assurez-vous que tout a du sens. Descendez la chaîne de certificats jusqu'à ce que vous arriviez au certificat racine. Maintenant, accédez à votre moteur de recherche préféré et vérifiez qu'aucun des fournisseurs de certificats n'a fait l'actualité pour une clé privée compromise. Malheureusement, l'écosystème basé sur l'autorité de certification signifie que vous devez simplement faire confiance à l'autorité de certification racine, dans une certaine mesure.

  2. Vérifiez l'adresse IP à laquelle vous vous connectez - utilisez votre outil NSLookup préféré pour voir où votre DNS vous pointe lorsque vous vous connectez à facebook.com. Apportez cette adresse à Google pour voir si elle correspond à ce que les gens disent généralement que l'adresse IP publique de Facebook est.

  3. Vérifiez si d'autres personnes ont récemment signalé des problèmes de connexion à Facebook via TLS, ou si toute préoccupation. Considérez si ces préoccupations vous semblent valables ou si elles semblent que l'utilisateur fait quelque chose de manière incorrecte.

Ensuite, prenez toutes les données que vous avez collectées ci-dessus points, et toute autre reconnaissance que vous avez effectuée. Réfléchissez de manière critique à savoir s'il est raisonnable que tout ce qui précède ait été simulé par un virus convaincant, un acteur malveillant maléfique sur votre réseau ou Mark Zuckerberg en train de rire. Considérez également que le problème que vous souhaitez éviter (soumettre ou afficher des informations de Fakebook plutôt que Facebook) et pensez s'il est possible que les conséquences éventuelles (fuite de données) puissent se produire d'une autre manière, comme un virus de capture d'écran ou de keylogger en cours d'exécution et simplement d'enregistrement votre contribution au vrai Facebook. Ensuite, déterminez si le risque dépasse la valeur que vous gagneriez en vous connectant à Facebook. Ensuite, réalisez que Facebook ne vous donne aucune valeur et décidez que cela ne vaut pas le risque.

"Considérez également que le problème que vous souhaitez éviter (soumettre ou afficher des informations de Fakebook plutôt que Facebook) et pensez s'il est possible que les conséquences éventuelles (fuite de données) puissent se produire d'une autre manière, comme un virus de capture d'écran ou de keylogger en cours d'exécution et justeenregistrer votre entrée dans le vrai Facebook. "Ou même Facebook enregistre lui-même les informations que vous mettez dans le vrai Facebook.
"Apportez cette adresse à Google" Comment puis-je savoir que le site Web auquel je suis connecté est Google?
@JMac Bien que cela ne puisse pas être considéré comme un fait, je formule ma réponse comme si l'utilisateur faisait implicitement confiance à Facebook avec ses informations.
@Acccumulation Vous allez sur Google2, évidemment.Sérieusement cependant ... Vous utilisez un appareil dont vous avez confiance pour être sans compromis, de préférence sur un réseau séparé.Malheureusement, avec le problème de l'authentification, chaque question se résume à "À qui choisissez-vous de faire confiance?"Tout est très solipsisme-y.
Excusez mon pédantisme, mais "Mark Zuckerberg ayant un rire" compterait certainement toujours comme interagissant avec le vrai Facebook, à moins que vous ne parliez de la faute de frappe "berg" -> "burg" comme une personne différente.
@Adonalsium Oh, je comprends totalement cela.J'ajoute simplement une autre couche pour montrer que vous ne pouvez jamais échapper au problème de la confiance en votre logiciel ou matériel.(yay des systèmes qui sont trop compliqués et interdépendants pour que les gens les comprennent pleinement par eux-mêmes!)
@EmilioMBumachar On peut imaginer que MZ a les ressources pour dire à quelqu'un de configurer un Facebook entièrement faux qui ne se distingue pas du vrai Facebook, et de rediriger une adresse IP entrante spécifique vers ce serveur à la place.C'est le faux Facebook, vous pourriez parler avec des employés payés de Facebook qui tentent de vous tromper, et vous n'avez aucun moyen réel de dire que vous avez été dirigé vers un autre serveur Web.
@EmilioMBumachar Je ne peux pas dire si "Fecebook" est une faute de frappe accidentelle ou intentionnelle (et, si elle est intentionnelle, je ne peux pas dire si c'est un exemple de squattage de domaine couvert dans ces réponses ou si vous avez de la mauvaise volonté envers Facebook).Dans tous les cas, c'est amusant puisque votre commentaire concerne une faute de frappe.
Facebook a un DNS TTL assez court.En suivant manuellement la chaîne de délégation pour `www.facebook.com.` Je me retrouve avec un CNAME vers` star-mini.c10r.facebook.com.` qui à son tour a un enregistrement d'adresse avec un TTL de seulement 60 secondes.Bien que je semble recevoir systématiquement la même adresse IP lors de la résolution de ce problème, c'est quelque chose à surveiller.
@Adonalsium: Votre commentaire sur "À qui faites-vous confiance?"devrait vraiment être dans votre réponse.Parce que toute votre publication repose sur le fait que vous faites confiance à votre navigateur pour ne pas vous donner de fausses informations sur les pages Web que vous visitez et les certificats que vous consultez.
Notez que le navigateur ne se connecte pas nécessairement à tout ce à quoi nslookup résout www.facebook.com.
@Acccumulation Si vous êtes du genre méfiant, vous pouvez toujours remettre en main propre vos paquets sous forme papier à Google en Californie.Ils peuvent vous paraître bizarre et ils devront peut-être trouver des employés retraités qui se souviennent de ce qu'est ce matériau d'arbre mort et comment le faire fonctionner sans écran tactile.
@Cort Ammon Comment connaître l'adresse de Google?
@Acccumulation Utilisez Internet pour une adresse initiale et marchez-y.Si cela ressemble à un site d'usine Google coûteux, vous avez probablement trouvé Google.En cours de route, demandez peut-être à quelques personnes au hasard où se trouve le site de l'usine Google, pour vous assurer qu'elles vous donnent toutes la même réponse.Si ce niveau de confiance est insuffisant, nous devons probablement avoir une discussion beaucoup plus longue sur * précisément * ce que cela signifie pour une entité d'être Google, car vous allez entrer assez rapidement dans le territoire du chapeau en aluminium.Assurez-vous de savoir où se trouve votre serviette =)
Concernant @Acccumulation, vous pourriez être intéressé par les [Cérémonies de clé] (https://en.wikipedia.org/wiki/Key_ceremony).De manière générale, j'ai tendance à appeler des questions telles que "Ai-je trouvé la bonne adresse Google" pour être un territoire de chapeau en fer blanc, mais les personnes qui organisent des cérémonies clés vivent réellement sur ce territoire, donc ce n'est pas SI fou!
Ajedi32
2017-12-02 02:11:51 UTC
view on stackexchange narkive permalink

C'est exactement le problème que HTTPS est conçu pour résoudre. Si vous visitez Facebook (ou tout autre site d'ailleurs) en utilisant une URL commençant par https: // ( pas http: // ), il existe alors un certain nombre de mesures de sécurité que votre navigateur utilisera automatiquement pour s'assurer que le site auquel il vous connecte est vraiment celui affiché immédiatement après https: // dans la barre d'URL, et avertir si ce n'est pas le cas.

Passons brièvement en revue ces mesures de sécurité afin que vous ayez une meilleure compréhension de leur fonctionnement et des conditions dans lesquelles elles sont efficaces (ou inefficaces).

Fonctionnement des noms de domaine

Lorsque vous visitez pour la première fois une URL telle que https://www.facebook.com/ , la première chose que fera votre navigateur est d'extraire le nom de domaine du site de l'URL que vous avez fournie. Le nom de domaine est la partie de l'URL qui vient après "https: //" au début de l'URL, et avant le prochain "/". Dans ce cas, le nom de domaine est "www.facebook.com".

Dans le nom de domaine, il y a plusieurs libellés séparés par des points (. ). Le libellé le plus à droite, dans ce cas, com , est le domaine de premier niveau. Le libellé à gauche de celui-ci, dans ce cas facebook , est un sous-domaine du domaine de premier niveau ( .com ), et tout autre libellé à gauche de qui , comme www , sont des sous-domaines contrôlés par le propriétaire de ce domaine. Ainsi, alors qu'un domaine comme secure.facebook.com est contrôlé par Facebook (puisqu'ils possèdent le nom de domaine facebook.com ), un domaine différent comme www.facebook .com.login.site serait contrôlé par celui qui possède le domaine login.site (probablement pas Facebook).

Ceci est important que vous compreniez, car si https://www.facebook.com/ est l'URL correcte pour Facebook, https://other.site.com/ www.facebook.com n'est pas , ni https://www.faceb0ok.com/ , https: //www.faceboook. com / ou https://www.facebook.com.secure.site/ . Si le nom de domaine que vous voyez dans la barre d'URL ne se termine pas exactement par facebook.com , votre navigateur ne saura pas que vous voulez vraiment vous connecter à Facebook et ne peut donc pas vous empêcher de vous connecter à un autre site qui se fait passer pour Facebook.

Vérification du nom de domaine

Une fois que votre navigateur aura le nom de domaine du site que vous visitez, il se connectera à celui-ci site à l'aide d'un processus appelé établissement de liaison TLS. (Encore une fois, cela suppose que vous visitez le site via https.) Dans le cadre de ce processus, le serveur auquel vous vous connectez (que ce soit le vrai serveur ou un faux) doit présenter à votre navigateur un fichier spécial appelé certificat TLS. . Ce fichier doit contenir une déclaration signée d'une tierce partie connue sous le nom d'autorité de certification à laquelle votre navigateur fait déjà confiance. La déclaration indiquera à votre navigateur la clé cryptographique à utiliser pour contacter le site Web que vous avez demandé, et votre navigateur demandera au serveur auquel vous vous êtes connecté (réel ou faux) de prouver qu'il contrôle cette clé avant d'envoyer des informations supplémentaires à ce serveur. .

Comme le certificat TLS doit être signé par un tiers auquel votre navigateur fait déjà confiance, le serveur auquel vous parlez ne peut pas simuler les informations de ce certificat. Et comme le certificat contient la vraie clé du serveur que vous essayez de contacter (dans notre cas, facebook.com), un faux serveur ne pourra pas convaincre votre navigateur qu'il est légitime et votre navigateur affichera un avertissement à vous, vous indiquant que le site auquel vous vous connectez est peut-être faux.

Pour en savoir plus sur ce processus, consultez Comment fonctionne SSL / TLS?.

Mais est-ce suffisant?

Votre navigateur peut-il être amené à charger une page à partir d'une fausse version de Facebook même si la barre d'URL indique https: // www.facebook.com/?

Dans des circonstances normales, non. Si vous vérifiez que vous utilisez https et que le nom de domaine est le bon, ces protections intégrées suffiront généralement à vous assurer que vous parlez vraiment au vrai facebook.com .

Il peut cependant y avoir de rares circonstances où quelqu'un pourrait se faire passer pour Facebook malgré ces protections. Par exemple, si vous installez une autorité de certification de confiance personnalisée sur votre ordinateur, le propriétaire de cette autorité de certification peut se faire passer pour Facebook. Au travail, votre employeur a peut-être déjà fait quelque chose de ce genre sur votre ordinateur de travail, alors soyez prudent lorsque vous naviguez sur le Web avec un ordinateur que vous ne possédez pas. (Il en va de même pour les ordinateurs d'une école ou d'une bibliothèque.) Les logiciels malveillants sur votre ordinateur peuvent également être en mesure d'installer sa propre autorité de certification ou de contourner les protections de votre navigateur d'une autre manière.

Il existe également d'autres moyens plus rares. un attaquant pourrait être en mesure de tromper votre navigateur pour qu'il se connecte à un faux facebook.com, par exemple en compromettant une autorité de certification approuvée par votre navigateur, mais je n'entrerai pas dans ces méthodes en détail, car elles sont très peu probables. >

Si vous pensez que, malgré ces protections, votre navigateur peut se connecter à un faux facebook.com sans vous en avertir, vous pourriez savoir si tel est le cas en utilisant certains des les méthodes explorées dans la réponse d'Adonalsium, mais même ces méthodes ne sont en aucun cas infaillibles.

Mais encore une fois, pour la plupart des utilisateurs, vérifier que vous vous connectez via HTTPS et que le nom de domaine affiché dans la barre d'URL est correct devrait être suffisant pour que vous soyez raisonnablement sûr que vous parlez bien au vrai Facebook.

Facebook utilise le HSTS préchargé.Lorsque je navigue vers `https: // www.facebook.com`, parmi les en-têtes de réponse se trouvent` Strict-Transport-Security: max-age = 15552000;preload` Par conséquent, tout navigateur moderne (qui prend en charge HSTS) ne se contentera pas d'avertir * des problèmes SSL / TLS, mais refusera carrément de vous permettre de vous connecter à Facebook.
@MichaelKjörling Le préchargement HSTS n'applique pas de clé publique statique.Il ne désactive que le simple http, c'est tout.Un faux facebook pourrait être https, avec un certificat d'entité finale approprié, seulement un certificat racine différent.
@kubanczyk Non, HSTS n'applique pas une clé particulière (mais HPKP pourrait, dans une certaine mesure, en rendant effectivement obligatoire l'utilisation de l'une des deux autorités de certification spécifiées).Cependant, mon commentaire était principalement en réponse à "et vous avertir si ce n'est pas le cas" dans le premier paragraphe.Lorsque HSTS est utilisé, avec un client qui implémente HSTS tel que défini, l'un de ses effets est de transformer tout avertissement SSL / TLS en une erreur fatale.Donc, s'il y a un problème qui provoquerait un avertissement SSL dans une situation non HSTS, ce même problème empêchera l'utilisateur de naviguer sur un site HSTS connu.Avec préchargement, cela inclut la première visite.
Une URL peut avoir un nom d'utilisateur: mot de passe @ avant le nom d'hôte;certains escrocs utilisaient ceci pour créer http: // facebookcom@scammers-r-us.com / ressemble à une URL Facebook
les domaines n'avaient-ils pas de fin implicite `.` (www.facebook.com.), qui est le domaine de premier niveau pour tout?
@BrianH.Cela s'appelle la racine DNS.Ce n'est pas considéré comme un domaine de premier niveau;c'est en fait un niveau au-dessus.Mais oui, «www.facebook.com» se résoudra effectivement à la même adresse IP que «www.facebook.com».Les points de fin ne sont pas couramment utilisés sur le Web comme ça, et la plupart des certificats n'incluront pas le FQDN dans leur liste de noms de domaine couverts, vous obtiendrez donc une erreur si vous essayez de visiter Facebook comme ça dans les navigateurs Web les plus populaires..Ce n'est pas vraiment quelque chose dont l'utilisateur moyen doit se préoccuper.
Merci @Ajedi32 pour cette clarification, je pense que la plupart de cette réponse est quelque chose dont l'utilisateur moyen n'a pas besoin de se préoccuper: p
@BrianH.Peut être.Je pense que le premier paragraphe et les sections «Comment fonctionnent les noms de domaine» sont assez importants pour que tout le monde les comprenne (afin d'éviter le phishing et la saisie de données sensibles dans des sites non sécurisés).Le reste, je suis d'accord, n'est pas crucial pour tout le monde, mais comme l'OP a explicitement demandé «comment», j'ai senti qu'un peu plus d'explications étaient nécessaires que «faites simplement confiance à votre navigateur, il sait ce qu'il fait».D'où l'explication (très basique) du fonctionnement de TLS et dans quelles conditions il est efficace.
Anders
2017-12-01 19:26:21 UTC
view on stackexchange narkive permalink

Le fait que l'URL soit https: // (où s signifie sécurité) et que le navigateur affiche le verrou dans la barre d'URL en est la preuve. Cela signifie que le protocole HTTPS est utilisé, où les sites Web doivent fournir un certificat prouvant leur identité. Donc, en tant qu'utilisateur, vous devez vous assurer que HTTPS est utilisé et que vous êtes sur facebook.com et non sur autre chose (comme faceb00k.com ).

Cependant, si votre appareil a été piraté ou est contrôlé par quelqu'un d'autre (par exemple votre employeur), vous ne pouvez pas être sûr de cela (ou de quoi que ce soit, d'ailleurs).

Puis-je suggérer d'ajouter un peu de non-installation de certificats non approuvés?Et à propos des noms de domaine où certaines lettres ont été remplacées par des sosies Unicode bien choisies?Bien qu'aucune autorité de certification décente n'émette un certificat pour un nom qui ressemble exactement à Facebook, cela pourrait être un problème avec des noms de domaine moins connus.
Ce n'est que la preuve que votre connexion n'est pas interceptée, mais pas la preuve que vous utilisez le vrai facebook.Tout le monde peut obtenir un certificat pour les domaines qui semblent appartenir à facebook. Vous devez regarder le nom de l'entreprise dans la barre d'URL.Facebook a un certificat EV, qui prouve qu'il s'agit du vrai Facebook, tandis que les faux ne peuvent avoir qu'un certificat DV, ce qui ne fait que prouver qu'ils sont les propriétaires de leur (faux) domaine.
Certains logiciels malveillants ont peut-être installé leur propre certificat racine et l'ont utilisé pour créer un certificat Facebook EV parfaitement valide (des choses comme celle-ci se sont produites, google superfish lenovo).Certains logiciels malveillants peuvent avoir infecté votre navigateur pour prétendre qu'il existe un certificat racine verisign alors qu'il n'y en a pas.En fin de compte, si votre appareil a été piraté, rien n'est la preuve de quoi que ce soit.
@allo, depuis quand Facebook utilise le certificat EV?
Cette réponse est fausse, car avec Facebook, vous ne pouvez pas vérifier ** que vous visitez réellement Facebook en regardant "https" et l'icône de verrouillage uniquement **.https://imgur.com/a/uCorv
@Sumurai8 Pourriez-vous expliquer ce que montre votre image?Je suppose que * Veilig * est une traduction de * Secure *.S'agit-il d'une attaque par homographe IDN?Avez-vous effacé quelque chose après `.com`?
L'icône et https indiquent uniquement que vous visitez ** un ** site via https.Il vous indique seulement qu'il existe une connexion https entre un point de terminaison et le site.J'arrivais à ce que la partie la plus importante reste de vérifier si le nom de domaine correspond, car les gens sont encore plus susceptibles de mal saisir un nom de domaine ou d'effectuer une saisie semi-automatique sur un site précédent, mais je vois que j'ai mal lu une partie de votre réponse.Les problèmes secondaires sont toujours l'empoisonnement DNS (avec une connexion SSL valide à une autre adresse IP) et certains attaquants de type gouvernemental signant leur propre certificat, ce qui nécessiterait des vérifications supplémentaires de la part de l'utilisateur.
@Sumurai8 Il existe de nombreuses autorités de certification racine gérées par le gouvernement dans le magasin de confiance.Bien sûr, si un cas légitime peut être fait que, par exemple, l'autorité de certification du gouvernement turc a émis à tort un certificat pour «www.facebook.com», alors quelqu'un vient probablement de brûler une autorité de certification.Tout est question de compromis entre le risque et la récompense.
Comme l'a déclaré @GuntramBlohm, il y a des raisons pour lesquelles vous pouvez être totalement arrosé même si votre appareil est neuf et non techniquement piraté.Les certificats Lenovo Superfish ont été installés avant même le point d'achat.Deuxièmement, comme Michael l'a dit, les autorités de certification racine pourraient être piratées, ce qui pourrait suffire à tromper votre navigateur.Si vous disposez d'un épinglage de certificat, vous pouvez éviter ce deuxième problème, mais il échouera toujours si votre société contrôle votre magasin de certificats.
La plupart des commentaires ici sont techniquement vrais, mais pas pertinents au niveau auquel la question a été posée.
@Crypt32 Désolé, je l'ai juste supposé car il ne serait pas responsable de ne pas utiliser de certificats EV.Mais il semble qu'ils n'utilisent vraiment pas de certificats EV.
J'aimerais m'accorder comme les autres: le verrou vert et https: signifient seulement qu'une des CA implicitement acceptée comme autorité par votre navigateur a donné un certificat à n'importe quelle entité que vous contactez, pour permettre de s'appeler Facebook.*C'est ce que cela signifie.Le degré d'honnêteté de cette autorité de certification et le degré de rigueur de la vérification d'identité sont laissés entièrement ouverts.La seule raison pour laquelle vous pouvez croire cela, c'est qu'une autorité de certification qui baise trop de monde finira par ne plus avoir confiance.
@entrop-x Oui, bien sûr, c'est exact.Mais ce n'est pas pertinent pour la façon dont un utilisateur ordinaire vérifie s'il est sur Facebook.Personne, pas même vous, n'effectue une évaluation de l'autorité de certification avant de mettre à jour son statut FB.
Martin Argerami
2017-12-03 07:51:27 UTC
view on stackexchange narkive permalink

Juste pour compléter les réponses déjà très bonnes, et pour suivre un peu le commentaire de user21820 ci-dessus, vous construisez la confiance par parties et en analysant.

Je voulais juste souligner qu'un point de base de votre configuration de sécurité dans la situation que vous décrivez est le navigateur. Celui qui a écrit le code du navigateur que vous utilisez a toute liberté de vous montrer que vous accédez à www.facebook.com et d'afficher le certificat vert tout en vous connectant au site de son choix. Vous détecteriez cette situation en reniflant le trafic IP de votre ordinateur, mais pas en regardant le navigateur.

En fin de compte, nous utilisons tous une configuration où nous faisons confiance à différentes personnes / entreprises / institutions: celui qui a écrit le système d'exploitation, celui qui l'a installé, celui qui a écrit le bios et les autres micrologiciels de votre matériel, celui qui a écrit le navigateur, les certificats installés dans votre système, etc. Les configurations les plus courantes sont connues pour être plus ou moins fiables, mais plus que tout, nous mettons notre confiance dans les chiffres: si Microsoft ou Google ou un fabricant d'ordinateurs avaient leur logiciel diriger vers des sites douteux ou voler des informations sensibles, ou si Mozilla installe un certificat dangereux, quelqu'un parmi les millions d'utilisateurs le remarquerait probablement d'une manière ou d'une autre. Cela ne rend pas impossible que des choses louches se produisent dans votre système ou le mien: tout simplement improbable.

Vous avez tout à fait raison de dire qu'il faut faire confiance à beaucoup de choses, et on ne peut pas tout vérifier par soi-même.Cependant, il est plus facile de faire confiance à quelque chose qui est ouvert, car cela signifie que n'importe qui pourrait * potentiellement * le vérifier, de sorte que l'entité qui met des portes dérobées a potentiellement de s'exposer.Bien sûr, le vrai problème est le matériel, mais vous pouvez espérer que le matériel est suffisamment bas pour ne pas pouvoir interférer avec des choses sophistiquées que vous faites sur des couches ouvertes plus élevées.
entrop-x
2017-12-05 14:27:06 UTC
view on stackexchange narkive permalink

La question initiale peut avoir deux aspects. L'une est "mes données se retrouvent-elles sur le vrai Facebook?". En d'autres termes, suis-je sur le site d'un imposteur? L'autre est: "pourrait-il y avoir une attaque MITM qui espionne ma connexion?".

Dans les deux cas, lorsque le "verrou vert" apparaît dans le navigateur, et que nous supposons que le navigateur n'est pas compromis et qu'il dispose des bons certificats CA, la réponse à la question est équivalente à: "pourrait l'une des autorités de certification de confiance a produit un autre certificat avec le nom de domaine "facebook.com". C'est une question à laquelle il est difficile de répondre, car pour pouvoir le vérifier, il faut en principe pouvoir voir TOUS les certificats émis par TOUTES les autorités de certification de confiance, ce qui est impossible, car ils ne sont pas écrits sous une forme de chaîne de blocs ou autre. de prouver "pas de double certificat".

Un argument en faveur du fait que l'AC ne le fasse pas serait que l'activité d'une autorité de certification dépend de sa confiance, et donc que les utilisateurs ne découvrent jamais qu'ils ont été trompés par un escroc certificat émis par ladite autorité de certification. Si plusieurs utilisateurs de Facebook se plaignent d’avoir fini o n faux livre, ce serait la fin des affaires de ce CA. C'est un argument valable pour avoir une certaine confiance que CA ne signe pas de certificats à fakebook. Cependant, ce n'est pas un argument contre les certificats de signature de l'autorité de certification pour les snoopers MITM (par exemple, les snoopers sponsorisés par l'État). Il n'y a aucun moyen de savoir si le MITM ne fait que fouiner.

Avec un snooper MITM, à la fin de la journée, vous êtes vraiment connecté au vrai facebook bien sûr, mais vous n'avez aucun moyen de savoir si vous avez été espionné. Je ne sais pas sur quel aspect la question initiale mettait l'accent: se retrouver sur Facebook mais être fouillé, ou se retrouver sur un faux livre. La "réputation de l'autorité de certification" n'a d'importance que pour le deuxième aspect.

Tomachi
2017-12-03 18:47:48 UTC
view on stackexchange narkive permalink

HTTPS est assez bon, mais si vous êtes en Chine, vous espérez qu'ils n'ont pas modifié l'autorité de certification de l'autorité de certification racine SSL de sorte que vous obteniez un résultat différent. Je suppose que vous pourriez comparer cela avec les résultats DNS publics 8.8.8.8 de Google?

http://www.zdnet.com/article/google-banishes-chinas-main-digital-certificate-authority -cnnic /

Cela n'ajoute rien à ce que fournissent les autres réponses.D'autres réponses disent la même chose sans mentionner spécifiquement «Chine» (ce qui n'est pas nécessaire car d'autres pays ainsi que les FAI et les organisations font la même chose)
Je pense que la Chine est le premier pays à avoir supprimé une autorité de certification racine par un fabricant de navigateur?J'avais d'abord entendu.
entrop-x
2017-12-04 20:43:09 UTC
view on stackexchange narkive permalink

Il y a déjà eu de nombreuses excellentes réponses. Je voudrais m'accorder d'un autre point de vue. Poussé à l'extrême, cela devient philosophique, et vous devez tracer la ligne quelque part :

  • Est-ce que "Facebook" comme je pense le savoir, existe-t-il même pour de vrai?

  • S'il existe, que diable pourrait-il être?

  • Combien de Facebook différents pourraient exister ?

  • Y a-t-il une personne réelle du nom de Zuckerberg? Est-il vraiment le patron de Facebook? A-t-il un frère jumeau?

On peut se retrouver ainsi dans un solipsisme total, si l'on met en doute chaque information reçue (par votre cerveau). A un certain moment, vous devrez accepter une "hypothèse de réalité". C'est le point d'ancrage de la confiance pour le reste des informations d'authentification. Peut-être connaissez-vous Mark Zuckerberg en personne: vous pourriez lui demander les vraies clés publiques dans les certificats de Facebook. Mais peut-être ne connaissez-vous qu'une chose appelée "Facebook parce que d'autres personnes vous en ont parlé. Dans ce cas, comment savez-vous que vous êtes sur le même Facebook que ce dont ils en parlaient?

Donc au final, vous pourriez dire que vous ne vous souciez pas de la nature absolue de Facebook: ce qui compte, c'est que le "Facebook" avec lequel vous avez affaire est le même vous étiez au départ confronté lors de votre première découverte. S'il y a, en réalité, un véritable deuxième (et même un troisième, quatrième ...) "Facebook" là-bas, mais l'un d'eux est celui que vos amis vous ont montré pour la première fois pour créer un compte, et vous pouvez les contacter, la seule chose que vous voulez, c'est que vous soyez plus tard en contact avec le même Facebook qu'au départ. Donc, si vous obtenez une clé publique d'un de vos amis, c'est la clé publique du Facebook que vos amis utilisent, c'est en principe suffisant. Si vos amis étaient, tous, systématiquement, la victime constante d'une attaque MITM, eh bien, peu importe: que MITM est votre Facebook: une entité sur Internet. Personne n'a dit que Facebook était une belle entité ...

Donc, pour les entités sur Internet, ce qui compte souvent, c'est l'authentification relative : la preuve que vous contactez lors de sessions successives , la même entité que celle que vous avez contactée la première fois. Vous réalisez peut-être qu'en dehors de la cohérence de l'entité sur différents contacts, vous ne savez pas grand-chose sur l'entité que vous contactez.

Cela peut être différent si vous avez besoin que l'entité soit également une personne morale légale que vous aimeriez poursuivre si jamais elle se comportait mal à votre égard. Vous devez alors, à proprement parler, obtenir un certificat de l'instance judiciaire qui a le pouvoir de juridiction sur l'entité que vous souhaitez contacter, la personne morale derrière "Facebook". Cela peut être le cas si vous contactez un partenaire commercial sur Internet, ce que vous ne connaissez pas à part le fait qu'il est sur Internet, par exemple dans un magasin à l'autre bout du monde.

Enfin, il y a une troisième possibilité, et Facebook tombe très probablement dans cette catégorie. Vous souhaitez contacter l'entité "tout le monde sait et est bien connu". Les différents canaux par lesquels une entité est «notoire» devraient alors également être utilisés pour diffuser la clé publique de cette entité: journaux imprimés, télévision, différents sites Web, etc. Si la même clé publique est distribuée de manière systématique et cohérente par plusieurs autres entités que vous connaissez également d'une manière ou d'une autre, vous disposez d'un solide réseau de confiance qui indique que vous pouvez faire confiance à cette clé publique pour être la bonne de Facebook. C'est quelque chose qui ne fonctionne pas vraiment bien pour des entités relativement inconnues, car son "réseau de confiance" doit s'étendre suffisamment pour toucher différents acteurs que vous connaissez déjà et en qui vous avez confiance, ce qui ne fonctionne que pour bien entités connues. Je vis en Europe et j'aurais du mal à obtenir une toile de confiance autour de moi qui pourrait convaincre quelqu'un à Sidney d'être absolument sûr qu'il traite avec moi.

Nous avons donc 3 catégories différentes d'authentification d'entités sur internet, selon le cas d'utilisation:

  • authentification relative: je ne sais pas qui vous êtes, mais vous êtes la même entité que j'ai contactée plus tôt

  • authentification légale: je ne peux faire confiance qu'à l'émetteur légal des identités

  • authentification web-of-trust: "tout le monde" sait de qui il s'agit via différents canaux, c'est donc le moyen d'obtenir la clé publique correcte: celle que tout le monde utilise de manière cohérente.

Un cas d'utilisation réel peut avoir besoin les 3 aspects: je veux me connecter au "bien connu" Facebook "tout le monde sait" (même s'il y a un bar quelque part au Kazakhstan appelé "facebook", ce n'est pas celui que je veux contacter); Je souhaite contacter le même Facebook lors de connexions successives (même s'il y a eu vente du nom de marque à une autre entité, par exemple). Et si jamais Facebook se comporte mal, je veux que ce soit une personne morale que je pourrais éventuellement poursuivre en justice.

En tant que tel, la confiance que nous semblons accorder à CA est quelque peu à découvert, car nous faisons aveuglément confiance aux entités (CA) pour avoir vérifié cela sans nous vérifier nous-mêmes et indépendamment de notre cas d'utilisation. Après tout, peut-être que le bar du Kazakhstan a également un certificat pour "Facebook.net". Mais c'est plus facile et mieux que rien.

Bienvenue dans Information Security Stack Exchange!C'est une réponse philosophique bien écrite, mais je crains que ce ne soit pas le genre de réponse que nous recherchons ici.Ce site vise des réponses pratiques ("Il y a une icône de cadenas qui montre que vous utilisez SSL / TLS, et la barre de titre doit afficher le nom du site en vert ...").Cela dit, nous avons _également_ un site de questions / réponses sur [Philosophy.SE], que vous pourriez trouver intéressant.
@Barth: Je vois ce que vous voulez dire, mais mon but * était * d'indiquer une réelle difficulté de sécurité avec CA.Par exemple, si vous travaillez dans une grande entreprise et que vous êtes derrière un pare-feu, la question initiale * comment puis-je être sûr que je suis sur le vrai Facebook? * Pourrait avoir du sens, si votre entreprise a une racine supplémentairecertificats installés dans votre navigateur et espionne ses employés, faisant une attaque systématique MITM sur le trafic sortant de Facebook.Votre FAI est peut-être également lié à une autorité de certification et pourrait faire de même.Comment le sauriez-vous?
Bien sûr, cela répond à la question.Je ne critique personne, à part le commentaire de Barth qui a affirmé que ce n'était pas une réponse, et que la «bonne» réponse devrait simplement être basée sur CA.J'explique que la vraie réponse à la question se résume à savoir si la clé publique dont on dispose correspond vraiment à l'entité que l'on a en tête, et que cela pourrait signifier 3 choses différentes: "identique à la précédente", "juridiqueentité "ou" identique à ce que les autres personnes ont convenu "."green lock" est basé sur "tout ce que l'un quelconque d'un ensemble d'entités données (CA dans le navigateur) me dit qu'il est".


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...