Quand il y a une vague d’attaque, une vulnérabilité quelconque, ou dans certains cas, lorsqu’il est trop tard et qu’il y a quelques dégâts et qu’un patch est disponible depuis plusieurs mois (ou années), le problème c’est pas les OS, les logiciels ou paquets, telle ou telle vulnérabilité.
Le problème, c’est le sysadmin (‘fin, si il existe, parce que très souvent les budgets sont plus que limités), la couche 8.
Aujourd’hui, on va passer en revue un grand standard : TLS.
En 2017, au vu de toutes les affaires qu’il y a eu telles que celles de la collecte généralisée/DPI pratiquée par des organisations étatiques, de sombres histoires de man-in-the-middle ou trucs chelous comme dans certains réseaux d’entreprises, il me semble juste indispensable d’avoir son site en https, peu importe si c’est un blog, le site d’une société ou d’une organisation.
Surtout quand on se connecte à un service qui gère des données sensibles ou personnelles, tiens, mais le responsable n’est-il pas astreint à une obligation de sécurité ? et le fait de ne pas avoir mis en oeuvre les moyens de protection n’est-il pas puni sévèrement par la loi ?
On va regarder du côté des écoles/universités, l’ENC Bessières propose le BTS SIO, ce qui n’empêche pas d’avoir leur page de login en clair :
L’Université Versailles St Quentin (UVSQ) qui possède un large panel de formations en informatique est presque à la même enseigne, sauf que c’est un peu troué :
Configuration problématique :
- Vulnérable OpenSSL CCS vulnerability (CVE-2014-0224).
- Présence de SSLV3 : PODDLE.
- Présence de RC4.
- Présence de MD5.
Suites de chiffrement périmées (entres-autres) :
- TLS_RSA_WITH_DES_CBC_SHA
- TLS_DHE_RSA_WITH_DES_CBC_SHA
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
Cliquez ici et là pour accédez aux éléments.
- Sésame, ouvre-toi !
Quand au système de réinitialisation de mot de passe « réalisé par la DSI de l’UVSQ », il est en clair, et avec un peu de social engineering certains pourraient avoir droit à quelques surprises :
Là, le probème c’est que Sésame il est déjà ouvert…
A l’université Paris Diderot, le magnifique portail d’authentification connaît également quelques petits soucis, hormis le fait qu’il soit hideux :
Il est insécurisé : les accès étudiants passent en clair et les accès profs passent en « chiffré-troué » :
Configuration problématique :
- Présence de SSLV3 : PODDLE.
- Présence de RC4.
- Présence de MD5.
- Présence de DES sur « compte.app.univ-paris-diderot.fr » (ainsi que des 3 items ci-dessus).
Suites de chiffrement périmées (entres-autres) :
- TLS_ECDHE_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Suites de chiffrement périmées (entres-autres) pour » compte.app.univ-paris-diderot.fr » :
- TLS_RSA_WITH_DES_CBC_SHA
- TLS_DHE_RSA_WITH_DES_CBC_SHA
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
Cliquez ici et là pour accédez aux éléments.
A Evry, la page de connection au portail pédagogique est en clair.
A Assas, on fait aussi dans le « chiffré-troué » avec du SSLV3 (avec le joli PODDLE qui va avec), du RC4, des suites exotiques comme TLS_RSA_WITH_RC4_128_SHA et TLS_ECDHE_RSA_WITH_RC4_128_SHA.
Cliquez ici et là pour accédez aux éléments.
A Paris 4, le portail plutôt joli fait également dans le « chiffré-troué ».
Configuration problématique :
- Présence de SSLV3 : (avec PODDLE).
- Présence de MD5.
- Présence de DES.
- Présence de RC4.
- Présence de ANONYMOUS.
- Présence de la vulnérabilité OpenSSL Padding Oracle vulnerability (CVE-2016-2107).
Suites de chiffrement périmées (entres-autres) :
- TLS_ECDH_anon_WITH_AES_256_CBC_SHA
- TLS_ECDH_anon_WITH_AES_128_CBC_SHA
- TLS_ECDH_anon_WITH_RC4_128_SHA
- TLS_ECDHE_RSA_WITH_RC4_128_SHA
- TLS_ECDHE_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
- TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_RSA_WITH_DES_CBC_SHA
- TLS_RSA_WITH_DES_CBC_SHA
Cliquez ici et là pour accédez aux éléments.
- Puis, le ponpon !
Pour celles et ceux qui lisent habituellement le blog, vous savez très bien que la rédaction à l’habitude de garder le meilleur pour la fin, tel le dessert du repas, telle la cerise sur le gâteau.
Autant les premières situations étaient des universités (organismes publics), autant le cas ci-dessous est une société commerciale, elle possède donc -en théorie- plus de moyens afin de faire le nécessaire au niveau des obligations de sécurité légales.
La petite rédaction est tombé totalement par hasard sur une entreprise qui permet de vérifier les diplômes obtenus par les candidats :
Verifdiploma est un service édité par Groupdiploma, inventeur d’e-solutions pour un recrutement sûr & sur mesure.
Créée en 2000, le service a été mis en place en partenariat avec les Grandes Ecoles et les Universités.
C’est un outil accessible sur Internet dédié aux professionnels du recrutement.Verifdiploma est l’intermédiaire entre les services des Ressources Humaines et les établissements de l’Enseignement Supérieur afin de faciliter le recrutement de stagiaires, d’apprentis et de diplômés.
Réservé aux entreprises, Verifdiploma permet de vérifier de manière absolument certaine les diplômes obtenus par vos candidats en France et à l’International. Le vérificateur en ligne permet de sécuriser vos recrutements jeunes diplômés ou expérimentés tout en valorisant votre marque employeur.
Verifdiploma, c’est « la solution pour un recrutement plus sûr » mais également « le recrutement 3.0, sûr & sur mesure » :
On peut remarquer qu’il existe différentes « instances » de Verifdiploma, parmi lesquelles celles de Paris Dauphine ou encore l’école de commerce Skema :
Comme on peut le voir, tout indique que c’est sécurisé, il y a le logos des CB et le cadenas, mais qu’en est-il vraiment ?
Les différents domaines (et les deux instances trouvées), c’est-à-dire :
- dauphine.verifdiploma.com
- skema.verifdiploma.com
- verifdiploma.com
- groupdiploma.fr
Pointent sur le même serveur : 188.165.219.119
Or, il y a quelques soucis :
Configuration problématique :
- Présence de SSLV3 : (avec PODDLE).
- Présence de MD5.
- Présence de RC4.
- Présence d’un échange de clé Diffie Hellman en 1024 bits.
Suites de chiffrement périmées (entres-autres) :
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
Dans les différentes situations énumérées, il y a des données personelles qui transitent, que ça soit des dates de naissance avec le numéro INE (Numéro étudiant), des attestations, des pièces d’identité ou encore des données bancaires pour procéder au paiement (dernière situation).