Bonjour à tous, Il n’y a pas longtemps, on m’a demandé pourquoi faire de l’interception/déchiffrement du TLS 1.3, ça pouvait être « compliqué » comme je le disais. J’avais en tête le truc dans les grandes lignes avec en particulier le fait que le SNI passait désormais dans le handdshake chiffré par TLS, rendant plus compliqué l’interception des clés des certificats associés à la communication.
C’était un peu léger comme explication, je me basais surtout sur mes expériences avec TLS la lecture de ce papier de Symantec/Broacom sur le sujet. Néanmoins c’était une vue très bas niveau du sujet. Puis en commençant mes recherches pour vous écrire un article sur le sujet, je suis tombé sur cet article de Vladimir Kolla :
TLS 1.3, ESNI, DoH, interception… ce n’est pas si compliqué 😉
https://greenlock.ghost.io/tls-1-3/
Et puis je me suis dis qu’il y avait pas grand chose à dire de plus en fait là…
Son article est juste nickel, s’il était en Creative Commons, je vous l’aurais bien remis « as-it » sur mon blog mais bon tant pis, je me contenterai de la ref. Du coup son post fait aussi référence au No Limit Secu sur TLS 1.3, qui date un peu, mais me parait être une bonne introduction au sujet. pour ceux qui cherche d’autres source, allez jetez un oeil à ces sources :
- https://www.infosecurity-magazine.com/opinions/intercept-tls-13/
- https://www.zscaler.com/blogs/product-insights/tls-13-busting-myths-and-debunking-fear-uncertainty-doubt
- https://security.stackexchange.com/questions/245717/exactly-why-is-it-not-possible-to-drop-out-of-tls-1-3-proxy-inspection
En conclusion TLDR si vous ne voulez pas aller lire tout ce que je vous ai envoyé, retenez que l’interception de TLS 1.3 est « plus compliqué techniquement » mais pas impossible. Que nécessite plus de ressources matérielle pour réaliser la même chose qu’en TLS 1.2 ou simplement de diminuer la sécurité de la communication pour pouvoir revenir à un système similaire au TLS 1.2.
Pour finir avec mon avis sur le sujet de l’Interception/déchiffrement du TLS 1.3 à des fins de supervisions de sécurité dans les environnements professionnels. Si vous l’avez déjà en place, conservez là tant que vous pouvez mais configurez de manière à ne pas diminuer la sécurité des flux pour votre confort. Dans le cas, où vous réfléchiriez à la mettre en œuvre aujourd’hui. Il peut être encore temps de changer de sujet et de déployer un bel EDR ou Sysmon d’abord qui vous donnera plus de visibilité pour le même prix.
Maintenant vous faite comme que vous voulez » ! Geekez bien !
Bonjour,
je découvre ce blog (très intéressant, bravo) et ce post :).
Je n’ai pas de licence sur mes publications car je m’en fou en peu que le contenu soit repris, tant que les propos ne sont pas déformés (et qu’on me remonte les erreurs que je pourrais commettre).
Quand je publie des choses à licence, c’est toujours avec la meilleure licence, la WTFPL ou « DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE » 😀 https://github.com/mynameisv/NaiveOtp/blob/master/README.md
Bonne journée \o/
C’est gentil, merci pour la précision V !
Y’a pas longtemps, j’ai posé la même question !
On recycle ici tu sais, sauvez la planète tout ça…
Mais ATI ? ca me rappelle bien quelqu’un…mais qui ? aucun souvenir… :-p