Topic des lève-tôt [partie 11]

pierrecastor · Le 02/02/2016, à 19:20

Un proxy ? Sérieux, qui passe par un proxy pour consulter l'internet actuel ?

Une majorité des entreprises au dessus d'une certaines taille.

Et il y a déjà eu des cas avérer d'entreprise détournant les certificat HTTPS pour avoir accès au trafic de leurs employé.

http://sebsauvage.net/rhaa/index.php?20 … certpatrol

Compte supprimé · Le 02/02/2016, à 20:04

jojo81 a écrit :

L_d_v_c@ a écrit :
Oui, après tout, quand l'informaticien m'a dit il y a deux mois que le HTTPS est cassable en intercalant un proxy qui récupère tous les mots de passes et numéros aux passages, et qui réencode en HTTPS, il n'a pas dit que c'était mon cas
Un proxy ? Sérieux, qui passe par un proxy pour consulter l'internet actuel ?

L'informaticien m'expliquait qu'une attaque man in the middle en intercalant un proxy sur la ligne de l'abonné, pouvait se faire en court-circuitant HTTPS.
Nécessitant l'ordinateur (proxy je crois ?) qui va casser le HTTPS, intercepter les messages, et ré-encoder en HTTPS et sûrement un modem pour renvoyer sur la ligne ADSL2+ ?

…
L_d_v_c_@ a écrit :
Je suis en 192.168.1… et avant, il me semble, que je ne pouvais pas remonter du 192.168.1.x au 192.168.0.x
C'est quoi ce plan foireux ?
Tu peux faire un schéma de ton réseau ?
Par exemple, moi si je sous-réseaute : WWW---<IP Publique>) (192.168.1.1 -Wifi) --- (wlan0- 192.168.1.200)(10.0.2.15 -eth0---OS

WWW---78.212.xxx.yyy) FreeBox (192.168.0.254 câble RJ45) --- (wlan0- 192.168.0.yyy) Routeur -parefeu (192.168.1.zzz) switch -eth0---OS
Comme ça ?
Alors depuis OS en 192.168.1.ORDI, je contacte la FreeBox en 192.168.0.254… avec une simple commande :

ping 192.168.0.254 -c 3
PING 192.168.0.254 (192.168.0.254) 56(84) bytes of data.
64 bytes from 192.168.0.254: icmp_seq=1 ttl=63 time=1.33 ms
64 bytes from 192.168.0.254: icmp_seq=2 ttl=63 time=1.03 ms
64 bytes from 192.168.0.254: icmp_seq=3 ttl=63 time=1.10 ms

--- 192.168.0.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 1.036/1.160/1.337/0.128 ms

L_d_v_c@ a écrit :
édit : J'arrive même à atteindre l'adresse publique de ma FreeBox !
Bah moi aussi.

pierrecastor · Le 02/02/2016, à 20:05

L'informaticien m'expliquait qu'une attaque man in the middle en intercalant un proxy sur la ligne de l'abonné, pouvait se faire en court-circuitant HTTPS.
Nécessitant l'ordinateur (proxy je crois ?) qui va casser le HTTPS, intercepter les messages, et ré-encoder en HTTPS et sûrement un modem pour renvoyer sur la ligne ADSL2+ ?

C'est pas tout à fait ça. Regarde le lien de sebsauvage que j'ai mis au dessus qui explique assez bien la démarche.

Si tu ne passes par aucun proxy, pas d'inquiétude à avoir.

Compte supprimé · Le 02/02/2016, à 20:08

pierrecastor a écrit :

L'informaticien m'expliquait qu'une attaque man in the middle en intercalant un proxy sur la ligne de l'abonné, pouvait se faire en court-circuitant HTTPS.
Nécessitant l'ordinateur (proxy je crois ?) qui va casser le HTTPS, intercepter les messages, et ré-encoder en HTTPS et sûrement un modem pour renvoyer sur la ligne ADSL2+ ?
C'est pas tout à fait ça. Regarde le lien de sebsauvage que j'ai mis au dessus qui explique assez bien la démarche.
Si tu ne passes par aucun proxy, pas d'inquiétude à avoir.

MERCI, je suis effectivement en train de lire l'article…
Donc, si la ligne n'est pas détournée physiquement, l'attaque peut se faire directement sur le DSLAM puisque les FreeBox de ma ville sont sur le sous-réseau de FREE en 78.212.132.freebox.
Merci pierrecastor.

Dernière modification par Compte supprimé (Le 02/02/2016, à 20:08)

pierrecastor · Le 02/02/2016, à 20:10

l'

attaque peut se faire directement sur le DSLAM puisque les FreeBox de ma ville sont sur le sous-réseau de FREE en 78.212.132.freebox.

Non. Pour ce genre d'attaque, il faut que toi, sur ton PC, tu ais configurer ta connexion pour passer par un proxy. Si tu ne l'as pas fait, tu ne passe pas par un proxy et free n'est pas capable de voir ce qui transite dans le HTTPS.

Compte supprimé · Le 02/02/2016, à 20:21

pierrecastor a écrit :

l'
attaque peut se faire directement sur le DSLAM puisque les FreeBox de ma ville sont sur le sous-réseau de FREE en 78.212.132.freebox.
Non. Pour ce genre d'attaque, il faut que toi, sur ton PC, tu ais configurer ta connexion pour passer par un proxy. Si tu ne l'as pas fait, tu ne passe pas par un proxy et free n'est pas capable de voir ce qui transite dans le HTTPS.

N'importe qui intercalant quelque chose sur la ligne, peut intercepter toutes les connexions HTTPS, à partir du moment où l'accès physique sur la ligne est possible.

Je n'ai pas de scanner à la maison (je n'ai pas forcément l'argent ni la nécessité de cet appareil très coûteux), je me souviens juste d'une secrétaire de l'université qui me disait que l'informaticien passait toutes les lignes téléphoniques au scanner mensuellement, pour vérifier si les lignes était physiquement détournées, ou non.

Je n'ai pas paramétré de proxy, mais l'informaticien expliquait que le proxy pouvait être imposé (cas d'un type d'attaque man in the middle).

pierrecastor · Le 02/02/2016, à 20:27

N'importe qui intercalant quelque chose sur la ligne, peut intercepter toutes les connexions HTTPS, à partir du moment où l'accès physique sur la ligne est possible.

Nuance. On peut intercepter les trames HTTPS, mais pas le contenue. Ce qui transite en HTTPS est chiffré de bout en bout, de ton navigateur jusqu'au serveur hébergeant le site. Quelqu'un en milieu de ligne ne pourra pas savoir ce qui transite dans les trames.

Je n'ai pas paramétré de proxy, mais l'informaticien expliquait que le proxy pouvait être imposé (cas d'un type d'attaque man in the middle).

Le proxy est forcement configuré sur ton PC. Après, je sais que certain virus configurent un proxy malveillant en cas d'infection, mais je pense que sous linux, on est tranquille.

Compte supprimé · Le 02/02/2016, à 20:42

pierrecastor a écrit :

N'importe qui intercalant quelque chose sur la ligne, peut intercepter toutes les connexions HTTPS, à partir du moment où l'accès physique sur la ligne est possible.
Nuance. On peut intercepter les trames HTTPS, mais pas le contenue. Ce qui transite en HTTPS est chiffré de bout en bout, de ton navigateur jusqu'au serveur hébergeant le site. Quelqu'un en milieu de ligne ne pourra pas savoir ce qui transite dans les trames.

Le HTTPS se casse via l'attaque man in the middle, une fois le SSL déchiffré laissant apparaître toutes les informations sensibles, il suffit de rechiffrer le SSL et de retourner le HTTPS comme s'il ne s'était rien passé.

Je n'ai pas paramétré de proxy, mais l'informaticien expliquait que le proxy pouvait être imposé (cas d'un type d'attaque man in the middle).
Le proxy est forcement configuré sur ton PC. Après, je sais que certain virus configurent un proxy malveillant en cas d'infection, mais je pense que sous linux, on est tranquille.

Je cite une partie de l'article que tu as indiqué :

http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol a écrit :

…
Les administrateurs du proxy ont ainsi même la possibilité de voir les mots de passe en clair, alors que le cadenas SSL est bien présent. Ça ou pas de SSL du tout, c'est pareil.
…

pierrecastor · Le 02/02/2016, à 20:49

Le HTTPS se casse via l'attaque man in the middle, une fois le SSL déchiffré laissant apparaître toutes les informations sensibles, il suffit de rechiffrer le SSL et de retourner le HTTPS comme s'il ne s'était rien passé.

Si tu as un lien sur le décryptage de SSL, ça m'interesse, je ne savais pas ça possible avec une clé forte.

Pour l'extrais de l'article, ça confirme ce que je dis. Sebsauvage parle de son entreprise, ou tout les PC sont configuré de base pour passer par le proxy de l'entreprise.

Compte supprimé · Le 02/02/2016, à 21:32

Il y a quelques semaines les DNS de SFR répondaient en 16 ms !!! (je crois)…et avait tendance à me faire penser que ce n'est pas pour rien que je suis envahi de bannières de publicités SFR depuis ma FreeBox. Les autres DNS qui fonctionnent en 30ms : FREE - Google et OVH - aujourd'hui, il n'y a plus de DNS SFR, ni numéricable depuis ma FreeBox…

Dernière modification par Compte supprimé (Le 02/02/2016, à 21:35)

Compte supprimé · Le 02/02/2016, à 21:43

À part moko138 en connexion FreeWifi qui limite, est-ce que vous aussi, dans le mois, vous avez des données ressemblant à :

Le mois dernier (janvier 2016) :
Quantité de trafic (MBytes) Montant : 10 549 - 10,5 Go ???
Quantité de trafic (MBytes) Descendant : 263 382 - 263 Go ???

…

PPdM · Le 02/02/2016, à 21:44

pierrecastor a écrit :

Salut
Ce genre de fenêtre arrive quand justement tu quittes une page en HTTPS. En gros, tout ta transaction était bien protégé en HTTPS, mais une fois fini, le site t'as redirigé vers une page en HTTP. Et c'est la que firefox t'alerte pour te prévenir que tu quittes le HTTPS pour passer au HTTP.
Enfin il me semble.

Je plussoie !

Compte supprimé · Le 02/02/2016, à 21:50

Ah bien non !
Je ne vais pas m'en sortir !
OpenDNS (UK/NL) : 208.67.222.222, 208.67.220.220 (Attention: DNS menteurs - désactivable uniquement sur inscription au service - et pisteurs)
DNS menteurs - désactivable uniquement sur inscription au service - et pisteurs.

Il faut que je trouve du sérum de vérité pour DNS !

Compte anonymisé · Le 02/02/2016, à 22:18

pierrecastor a écrit :

Un proxy ? Sérieux, qui passe par un proxy pour consulter l'internet actuel ?
Une majorité des entreprises au dessus d'une certaines taille.
Et il y a déjà eu des cas avérer d'entreprise détournant les certificat HTTPS pour avoir accès au trafic de leurs employé.
http://sebsauvage.net/rhaa/index.php?20 … certpatrol

Oui, j'en avais entendu parler mais je doute que cela existe encore en 2016.

pierrecastor a écrit :

Le proxy est forcement configuré sur ton PC.

Je n'en suis pas si sûr. Mon firefox est configuré pour ne pas utiliser de proxy.

Dernière modification par Compte anonymisé (Le 02/02/2016, à 22:23)

Compte anonymisé · Le 02/02/2016, à 22:35

L_d_v_c@ a écrit :

WWW---78.212.xxx.yyy) FreeBox (192.168.0.254 câble RJ45) --- (wlan0- 192.168.0.yyy) Routeur -parefeu (192.168.1.zzz) switch -eth0---OS
Comme ça ?
Alors depuis OS en 192.168.1.ORDI, je contacte la FreeBox en 192.168.0.254… avec une simple commande :

Je vois, tu as le même sous-réseau que j'avais quand j'étais chez Numericable quand j'habitais à Bordeaux. Le propriétaire de la ligne a voulu ajouter un routeur wi-fi pour pallier à la mauvaise qualité de transmission wi-fi. Et la nuit, on éteignait le routeur secondaire.
Or... à cause des rallumages "intempestifs" du routeur secondaire sur le principal, les connexions se faisaient mal ne serai-ce entre le routeur secondaire et le principal (pb de synchro ou plutôt ATM)...
Moi, je rallumais le wi-fi du routeur principal sans diffuser son SSID et je disposais des 54 Mbps maximum que peut supporter mon wi-fi 802.11g, au lieu de la déviation par le routeur secondaire qui avait du mal.

Compte supprimé · Le 03/02/2016, à 01:59

Y'a toujours une solutions, il faut parfois se casser un peu plus la tête.
Il suffisait de bloquer les services sur les ports UDP de 1 à 65535, puis d'autres règles de blocage TCP de 1 à 79, puis 81 à 65535, la navigation est difficile, seulement quelques sites.
Alors au lieu de bloquer de 81 à 65535, je bloque de 81 à 442 et de 444 à 65535 et ça y est, je peux naviguer sans toutes ces connexions parasites !
Bien entendu, j'ai bloqué tous les services en entrée.

Puis petit à petit, je vais ajouter les ports nécessaires (995, 487, 993, 25…) par cette gymnastique.

édit : un bogue très bizarre ! le routeur devenait fou ! impossible à configurer, je cliquais sur une règle, une autre s'affichait, je cliquais la deuxième, la première s'éditait, je voulais effacer la dernière, c'est l'avant dernière qui s'effacer, puis le blocage total est devenu aucun blocage ALORS j'ai désactivé la connexion entre le routeur et la FREEBOX.

J'ai pu éditer toutes mes règles ! Tranquillement, puis j'ai remis la connexion, et ça fonctionne !!!
J'appelle ça un bogue, car c'est sûrement un bogue de mélange, non ? il suffisait de couper la connexion externe pour éditer tranquillement les règles. Zuteuh !
Bordeuleux !

[Access Control] Device UBUNTU with MAC address ***************** is allowed to access the network, Wednesday, February 03,2016 01:33:20    
[service blocked: /UDP 1-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:30:26    
[service blocked: /UDP 1-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:30:15    
[Time synchronized with NTP server time-g.netgear.com] Wednesday, February 03,2016 01:27:38    
[Internet connected] IP address: 192.168.0.100, Wednesday, February 03,2016 01:27:19    
[Internet disconnected] Wednesday, February 03,2016 01:22:08    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:15:11    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:15:09    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:15:08    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:36    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:35    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:35    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:04    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:03    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:03    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:48    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:47    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:47    
[service blocked: /TCP 81-442] from source 192.168.1.2, Wednesday, February 03,2016 01:13:44    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:40    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:39    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:39

Dernière modification par Compte supprimé (Le 03/02/2016, à 02:38)

Compte supprimé · Le 03/02/2016, à 02:40

Le calme est revenu !!!
Heure actuelle: Mercredi, 03 Fév 2016 01:40:38 plusieurs minutes plus tard, pas de nouvelle ligne.

[admin login] from source 192.168.1.2, Wednesday, February 03,2016 01:36:52    
[Access Control] Device UBUNTU with MAC address ********************is allowed to access the network, Wednesday, February 03,2016 01:33:20    
[service blocked: /UDP 1-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:30:26    
[service blocked: /UDP 1-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:30:15    
[Time synchronized with NTP server time-g.netgear.com] Wednesday, February 03,2016 01:27:38    
[Internet connected] IP address: 192.168.0.100, Wednesday, February 03,2016 01:27:19    
[Internet disconnected] Wednesday, February 03,2016 01:22:08    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:15:11    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:15:09    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:15:08    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:36    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:35    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:35    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:04    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:03    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:14:03    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:48    
[service blocked: /TCP 444-65535] from source 192.168.1.2, Wednesday, February 03,2016 01:13:47

Voilà !!!!!!!!!!!

Mon ordinateur établit des connexions que je ne maîtrisais pas.

Je ne sais pas si c'est en rapport avec mes problèmes …

Dernière modification par Compte supprimé (Le 03/02/2016, à 02:43)

Compte supprimé · Le 03/02/2016, à 02:48

Comment ? le routeur pare-feu laisse passer des ports bloqués ?

sudo netstat -tanp
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      715/dnsmasq     
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      613/cupsd

53 et 631 sont dans des segments bloqués, mais ils se connectent en 0.0.0.0 sur tous les ports ! et Ubuntu communique à travers le parefeu (qui devient moins efficace du coup).

Tiramiseb, si tu as quelques secondes pour m'expliquer cette subtilité, s'il-te-plait ?

moko138 · Le 03/02/2016, à 05:32

Bonjour !

moko138 · Le 03/02/2016, à 06:00

Re

Compte anonymisé · Le 03/02/2016, à 06:00

moko138 a écrit :

Bonjour !

Ah bon ?

F50 · Le 03/02/2016, à 06:12

Yo

Le fourhum est toujours en rade, ça c'est du pro de chez pro...

ceric · Le 03/02/2016, à 06:47

Bonjour.

souen · Le 03/02/2016, à 08:23

'alut

PPdM · Le 03/02/2016, à 08:27

Bonjour

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#2551 Le 02/02/2016, à 19:20

Re : Topic des lève-tôt [partie 11]

#2552 Le 02/02/2016, à 20:04

Re : Topic des lève-tôt [partie 11]

#2553 Le 02/02/2016, à 20:05

Re : Topic des lève-tôt [partie 11]

#2554 Le 02/02/2016, à 20:08

Re : Topic des lève-tôt [partie 11]

#2555 Le 02/02/2016, à 20:10

Re : Topic des lève-tôt [partie 11]

#2556 Le 02/02/2016, à 20:21

Re : Topic des lève-tôt [partie 11]

#2557 Le 02/02/2016, à 20:27

Re : Topic des lève-tôt [partie 11]

#2558 Le 02/02/2016, à 20:42

Re : Topic des lève-tôt [partie 11]

#2559 Le 02/02/2016, à 20:49

Re : Topic des lève-tôt [partie 11]

#2560 Le 02/02/2016, à 21:32

Re : Topic des lève-tôt [partie 11]

#2561 Le 02/02/2016, à 21:43

Re : Topic des lève-tôt [partie 11]

#2562 Le 02/02/2016, à 21:44

Re : Topic des lève-tôt [partie 11]

#2563 Le 02/02/2016, à 21:50

Re : Topic des lève-tôt [partie 11]

#2564 Le 02/02/2016, à 22:18

Re : Topic des lève-tôt [partie 11]

#2565 Le 02/02/2016, à 22:35

Re : Topic des lève-tôt [partie 11]

#2566 Le 03/02/2016, à 01:59

Re : Topic des lève-tôt [partie 11]

#2567 Le 03/02/2016, à 02:40

Re : Topic des lève-tôt [partie 11]

#2568 Le 03/02/2016, à 02:48

Re : Topic des lève-tôt [partie 11]

#2569 Le 03/02/2016, à 05:32

Re : Topic des lève-tôt [partie 11]

#2570 Le 03/02/2016, à 06:00

Re : Topic des lève-tôt [partie 11]

#2571 Le 03/02/2016, à 06:00

Re : Topic des lève-tôt [partie 11]

#2572 Le 03/02/2016, à 06:12

Re : Topic des lève-tôt [partie 11]

#2573 Le 03/02/2016, à 06:47

Re : Topic des lève-tôt [partie 11]

#2574 Le 03/02/2016, à 08:23

Re : Topic des lève-tôt [partie 11]

#2575 Le 03/02/2016, à 08:27

Re : Topic des lève-tôt [partie 11]

Pied de page des forums