web-dev-qa-db-fra.com

Pourquoi une école devrait-elle installer des certificats sur les ordinateurs portables des élèves?

Cette question indique que les parents doivent acheter des ordinateurs portables pour une école afin d'installer des logiciels et des certificats. Je cherche à comprendre les raisons de site certificates installation:

  1. Pourquoi les certificats de site seraient-ils installés?
  2. Quel est le potentiel de problèmes avec la pratique?

Je cherche à comprendre à la fois les raisons légitimes (constructives) des certificats et les risques d'abus/abus. Il n'est pas clair dans le fil de discussion comment les écoles pourraient en quelque sorte décrypter le trafic avec des certificats.

65
gatorback

Il existe deux types de certificats différents que vous pouvez installer sur une machine:

  1. Le premier type de certificat est l'autorité de certification racine. Un certificat racine contient uniquement une clé publique de l'autorité de certification. Un certificat racine est une ancre de confiance installée sur votre machine afin que votre machine puisse identifier les sites "de confiance" auxquels se connecter, une autorité de certification peut émettre une réclamation sous la forme d'un certificat de serveur que "X est propriétaire du domaine Y" et parce que votre machine fait confiance à l'autorité de certification racine, elle fera confiance à cette revendication. Si l'école/l'entreprise installe un certificat racine sur votre machine, votre machine fera confiance à toutes les connexions établies avec le serveur de l'école/de l'entreprise en pensant que c'est légitime. Si vous installez un certificat racine, l'école/l'entreprise serait en mesure d'intercepter toutes les connexions SSL/TLS établies par votre machine qui transitent par leur réseau sans déclencher d'erreurs/d'avertissement de certificat de navigateur.

  2. Le deuxième type de certificat est le certificat client. Un certificat client contient une clé privée qui vous est propre et un certificat signé par l'autorité de certification de l'école/de l'entreprise. Un certificat client est utilisé pour que votre machine s'authentifie auprès de l'infrastructure de l'école, prouvant que c'est vous qui vous connectez. Un certificat client est essentiellement utilisé comme une meilleure solution pour les informations d'authentification que d'avoir à se souvenir des mots de passe. Un certificat client ne peut pas être utilisé par l'école/l'entreprise pour écouter les connexions établies par votre machine avec des serveurs n'appartenant pas à l'école/l'entreprise.

Un certificat client peut être installé correctement et ne devrait pas poser de problème de sécurité. En revanche, méfiez-vous beaucoup de l'installation d'un certificat racine, car c'est un sujet de préoccupation car le certificat racine peut facilement être utilisé abusivement.

112
Lie Ryan

Eh bien, il existe au moins un cas d'utilisation légitime. Il est courant que les grandes organisations et les universités gèrent une infrastructure à clé publique privée. Cela signifie qu'ils ont un certificat racine (sécurisé) qui est utilisé pour signer (avec les sous-autorités éventuelles) divers certificats.

Et il est également courant d'utiliser cette PKI privée pour signer des serveurs HTTPS qui ne sont pas destinés à être utilisés publiquement: la seule exigence est que les clients (internes) déclarent tous le certificat racine privé.

Le risque est une attaque MITM sur les connexions HTTPS. En fait, il est souvent présenté comme une fonctionnalité par les administrateurs de la sécurité. Beaucoup d'entre eux n'autoriseraient jamais les connexions HTTPS à partir d'un environnement sécurisé s'ils ne peuvent pas être inspectés en profondeur (*). Cela signifie en fait que lorsque vous HTTPS à partir du réseau interne via le proxy dédié, tout peut être enregistré. La seule règle est que les utilisateurs doivent en être avertis. Si quelque chose est vraiment privé, cela ne devrait tout simplement pas être fait à partir du réseau interne.


Il est courant d'utiliser une forte sécurité périphérique sur les grandes organisations via des proxys de filtrage. Ces proxys analysent le pair et le type de trafic afin de prévenir diverses attaques et infections. Mais comme HTTPS est crypté, le proxy ne peut pas savoir ce qui est réellement échangé à moins que l'attaque MITM ne soit active.

22
Serge Ballesta

Si les navigateurs des systèmes des étudiants ont un certificat scolaire dans la racine de confiance de l'installation du certificat (selon le navigateur, ce certificat peut être le paquet de certificats du système ou le navigateur), alors si le trafic passe par un proxy d'interception (tel que via le wifi de l'école), l'école est capable de décrypter le trafic avec la clé privée. Les connexions aux sites Web ne sont donc pas sécurisées de bout en bout, mais le proxy peut rétablir une connexion sécurisée avec le site Web lui-même et garder les données sécurisées en transit au moins. Ces appareils sont également connus sous le nom de SSL-Decrypters (bien que ce soit vraiment son TLS/SSL), et presque toutes les organisations avec lesquelles j'ai travaillé les utilisent dans une certaine mesure (je suis un testeur de pénétration, je travaille dans de nombreuses banques).

Il y a un certain nombre de raisons pour lesquelles vous voudriez faire cela, mais la plupart des installations se résument aux entreprises qui souhaitent espionner les utilisateurs pour repérer plus facilement les incidents de sécurité potentiels (malware sur le fil) ou simplement détecter une mauvaise utilisation.

J'étais un écolier une fois et demie de ce que j'ai fait sur ces ordinateurs n'était pas du tout du travail scolaire, si les écoles peuvent trouver un moyen de résoudre le problème des enfants utilisant des systèmes (même les leurs) pour des tâches illégitimes, c'est une bonne chose mon livre. Je suis un grand défenseur de la confidentialité, mais l'école n'aura ces pouvoirs de décryptage que lorsque vous serez connecté à Internet via son proxy. Donc, si vous êtes connecté à un réseau auquel vous ne faites pas confiance et que vous ne possédez pas, sur un système que vous n'avez pas provisionné vous-même, vous jouez (et acceptez) les règles de quelqu'un d'autre.

9
hiburn8

Il y a deux raisons:

La raison inoffensive est que les écoles mettent en œuvre une authentification basée sur les certificats et ont leur propre PKI. Les clients ont besoin du certificat racine PKI pour vérifier les certificats de serveur qui leur sont présentés.

La raison malveillante est l'interception SSL. Avec un certificat racine installé, les navigateurs peuvent être redirigés vers un proxy, où SSL est intercepté et le contenu inspecté avant d'être rechiffré et envoyé au serveur réel (ou vice versa).

Malheureusement, vous ne pouvez pas en obtenir un sans l'autre. Un certificat racine est un certificat racine. Votre contre-mesure est de ne pas utiliser cet ordinateur pour des choses sensibles, telles que les services bancaires en ligne ou la messagerie privée.

6
Tom

Cela dépend de ce que vous entendez par "site certifite", mais cette réponse est pour le cas d'une autorité de certification racine:

La plupart des écoles - au moins au Royaume-Uni - je ne connais pas d'autres pays, utilisent une forme de filtrage Web. Cela implique généralement un pare-feu/proxy qui intercepte le trafic Web et inspecte le contenu de la page.

Cependant, HTTPs fournit un chiffrement de bout en bout entre l'ordinateur de l'utilisateur et le site Web.Par conséquent, lors de la connexion à un site Web HTTPs, tout le proxy pourrait voir est l'adresse IP de destination, mais aucune information sur le contenu de la page Web .

Il ne serait pas pratique de simplement bloquer tout le trafic HTTP, donc pour maintenir le système de filtrage, l'école doit rompre le modèle de chiffrement de bout en bout, en mettant fin au chiffrement au niveau du pare-feu/proxy. Il transmet ensuite la connexion à l'utilisateur, mais il doit utiliser son propre certificat. Cette configuration leur permet de lire toutes les communications entre l'ordinateur de l'utilisateur et le site Web. (Une attaque d'homme au milieu)

Les certificats HTTP sont utilisés pour éviter que cela ne se produise de manière malveillante - car le certificat présenté a été signé par le pare-feu/proxy de l'école (plutôt que par une autorité de certification de confiance, par exemple Verisign), le logiciel de l'ordinateur portable ne fera pas confiance à la connexion (vous verrez un avertissement/erreur de sécurité message dans votre navigateur). Cependant, en installant le certificat de l'école en tant qu'autorité racine de confiance, la connexion serait plutôt approuvée et votre navigateur fonctionnerait alors normalement.

La conséquence de cela est que toute communication HTTPS depuis votre ordinateur portable peut être interceptée et lue par l'école (même si elle apparaît dans le navigateur comme étant sécurisée).

Plus généralement, toute personne ayant accès au certificat et à la clé privée de l'école, et disposant également d'un accès physique pour intercepter le trafic Internet de votre ordinateur portable, pourra lire vos communications SSL/TLS.

Jetez un œil à ce fournisseur par exemple: https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

Pour éviter cela, n'installez pas leurs certificats et utilisez plutôt une connexion OpenVPN sur un port qu'ils ne bloquent pas (essayez 53, 80, 8080, 443, etc.)

6
jacob_pro

(Publier cela comme une réponse sur demande, et aussi parce que le commentaire d'origine semble avoir été bien reçu et je ne voudrais pas qu'il soit supprimé dans une purge de commentaire.)

En réponse à Lie Ryan notant qu'il existe deux types de base de certificats, les certificats racine et les certificats client, et que les certificats client sont corrects, mais vous devez vous méfier des certificats racine personnalisés car ils ont un potentiel d'abus, j'ai ajouté:

Je dirais que la dernière ligne un peu plus fortement: un certificat racine qui est sous le contrôle des mêmes personnes qui possèdent le réseau utilisé pour se connecter à Internet doit être considéré comme un logiciel espion. Cela doit être évité si possible, et si ce n'est pas possible, la machine doit être considérée comme compromise et utilisée le moins possible. Il n'y a aucune raison légitime de vous obliger à en mettre un sur votre propriété personnelle. Si l'école veut le faire, elle peut fournir elle-même les ordinateurs portables.

Un autre intervenant a demandé quel était le lien entre le potentiel d'espionnage et le fait d'être l'opérateur du réseau. Ainsi, certains expliquant davantage:

Un certificat racine signifie que le propriétaire du certificat certifie non seulement que son site est légitime, mais a également le pouvoir d'émettre d'autres certificats. Voici comment fonctionnent les autorités de certification et l'ensemble de l'infrastructure de certificats: en installant le certificat racine, vous dites que vous faites confiance au jugement de l'autorité de certification, et l'autorité de certification certifie ensuite que les sites ordinaires sont légitimes, ce que vous acceptez parce qu'une autorité de certification de confiance l'a dit.

Le fait est qu'il n'y a aucune exigence technique nulle part dans ce processus impliquant la participation du propriétaire du site. C'est là qu'intervient la partie confiance; nous acceptons de croire qu'ils ont authentifié le site avant d'émettre un certificat pour celui-ci, et les rares fois où une autorité de certification a été détectée à défaut de le faire, la rétribution à partir d'Internet a été Swift et décisif, entraînant des conséquences pour la CA, y compris la cessation d'activité, pour avoir trahi la confiance du monde entier.

Mais si votre activité principale n'est pas une autorité de certification, cela change le calcul. Si vous exécutez un réseau et pouvez émettre une autorité de certification racine non autorisée sur les ordinateurs de vos clients, vous avez la possibilité de lancer une attaque de type homme du milieu. Cela fonctionne comme ceci:

  • Le client accède à https://security.stackexchange.com
  • Le système Network MITM prétend être un client et déchiffre le contenu
  • Network MITM rechiffre le contenu avec son propre certificat StackExchange frauduleux, émis par l'autorité de certification racine du réseau
  • Le navigateur du client reçoit les données, vérifie le chiffrement, voit qu'il utilise un certificat signé par une autorité de certification racine de confiance, dit "qu'il n'y a rien de mal avec cette connexion" et l'affiche à l'utilisateur
  • L'utilisateur ne sait pas que le réseau est potentiellement capable de lire et de modifier son trafic HTTPS

Cela ne fonctionnera que sur le réseau du propriétaire du certificat, car les autres réseaux qui n'ont pas de certificat racine installé sur votre machine ne serviront pas de certificats de site bidon.

4
Mason Wheeler

Vous pouvez faire un parallèle avec une entreprise. Pourquoi une entreprise devrait-elle installer des certificats sur les ordinateurs portables des employés (ou appareils personnels)?

Il s'agit de authentification. Un certificat peut être utilisé comme identifiant pour accéder à une ressource sécurisée (portail école/entreprise) sans avoir à fournir de mot de passe. Nous connaissons tous les inconvénients de l'utilisation de mots de passe, ainsi un certificat (ou un autre titre) est délivré à chaque élève qui l'identifiera lors de l'accès aux applications Web de l'école (principalement).

Dans l'entreprise pour laquelle je travaille, avant de déplacer notre infrastructure d'authentification vers SAML 2.0, si nous voulions (pour plus de commodité) accéder aux applications Web liées à l'entreprise à l'aide de nos appareils mobiles personnels, un certificat d'entreprise a été installé sur l'appareil.

4
Filipe dos Santos