Fiche de rendement des autorités de certification : examen des fondements de la protection des données sur le Web
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Organisation
Université Concordia
Publication
2016
Chargée de projet
Jeremy Clark, professeur adjoint
Mohammad Mannan, professeur adjoint
Sommaire
Pour filtrer le trafic protégé par un protocole SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), certains antivirus et certaines applications de contrôle parental interpose un serveur mandataire TLS au sein des communications de l'hôte. Les chercheurs ont entrepris d'analyser ce type de serveurs mandataires, en raison des problèmes connus que posent d'autres moteurs de traitement TLS (plus évolués), comme les navigateurs et les bibliothèques TLS communes.
Puisque les serveurs mandataires TLS clients imposent plusieurs contraintes particulières inexistantes dans le cas des serveurs mandataires courants, il faut les analyser de manière à détecter des vecteurs d'attaque supplémentaires; p. ex., il se peut que les serveurs mandataires fassent confiance pour la livraison de contenu externe à leurs propres certificats racines et s'en remettent aux autorités valides de certificat entreposé dans l'ordinateur (contournant ainsi le stockage dans le système d'exploitation et le navigateur).
Les chercheurs ont conçu un cadre intégré pour analyser ce type de serveurs en portant attention aux vecteurs d'attaque existants et nouveaux. Ce cadre leur a permis d'analyser en profondeur huit antivirus et quatre applications de contrôle parental conçus pour Windows qui font office de serveurs mandataires de TLS ainsi que deux autres produits pour lesquels les fournisseurs se contentent d'importer des certificats racines.
À l'issue d'une analyse systématique, les chercheurs ont constaté que plusieurs de ces outils réduisent gravement la sécurité TLS sur les appareils hôtes. Ils ont notamment découvert que quatre produits sont vulnérables à l'usurpation de l'identité du serveur en cas d'" attaque de l'homme du milieu " (MITM ou man-in-the-middle) active sans aucune intervention et que deux autres sont vulnérables lorsque le filtrage TLS est activé. De plus, plusieurs de ces outils amènent les navigateurs à croire que certaines connexions TLS sont plus sûres qu'elles ne le sont réellement, par exemple en mettant artificiellement à niveau la version TLS d'un serveur dans les paramètres du navigateur. La recherche vise à mettre en lumière de nouveaux risques découlant de l'utilisation d'outils d'interception TLS, dont des millions de personnes pourraient se servir.
Ce document est disponible dans la langue suivante :
Anglais
Recherche subventionnée par le Commissariat à la protection de la vie privée du Canada
Ce projet a reçu un soutien financier dans le cadre du Programme des contributions du Commissariat à la protection de la vie privée du Canada. Les opinions exprimées dans les rapports et les sommaires sont celles des auteurs et ne reflètent pas nécessairement l’opinion du Commissariat à la protection de la vie privée du Canada. Les sommaires ont été fournis par les auteurs des projets. Veuillez noter que les projets sont publiés dans leur langue d’origine.
Coordonnées
1455, boulevard de Maisonneuve Ouest
Montréal (Québec)
H3G 1M8
Téléphone : 514-848-2424
Site Web : https://www.concordia.ca/fr.html
- Date de modification :