web-dev-qa-db-fra.com

Comment puis-je être sûr d'utiliser le vrai Facebook?

J'écris www.facebook.com dans la barre d'adresse de mon navigateur et appuyez sur Entrée, puis utilisez Facebook.

Pourrais-je réellement visiter un faux Facebook même si je vois une URL de https://www.facebook.com et une icône de verrouillage à côté de la barre d'adresse?

28
again

Vous pouvez confirmer que vous êtes sur le vrai Facebook de différentes manières:

  1. Inspectez le certificat utilisé pour sécuriser le site. Ouvrez votre certificat (les instructions varient selon le navigateur) et voyez ce qu'il dit - est-il délivré à Facebook? Est-ce dans une période de temps valide? Maintenant, regardez qui a signé ce certificat, encore une fois, tournez-vous vers lui. Assurez-vous que tout a du sens. Descendez dans la chaîne de certificats jusqu'à ce que vous arriviez au certificat racine. Maintenant, accédez à votre moteur de recherche préféré et vérifiez qu'aucun des fournisseurs de certificats n'a été dans l'actualité pour une clé privée compromise. Malheureusement, l'écosystème basé sur l'autorité de certification signifie que vous devez simplement faire confiance à l'autorité de certification racine, dans une certaine mesure.

  2. Vérifiez l'adresse IP à laquelle vous vous connectez - utilisez votre outil NSLookup préféré pour voir où votre DNS vous pointe lorsque vous vous connectez à facebook.com. Prenez cette adresse sur Google, voyez si elle correspond à ce que les gens disent généralement que l'adresse IP publique de Facebook est.

  3. Vérifiez si d'autres personnes ont récemment signalé des problèmes de connexion à Facebook via TLS ou ont des préoccupations. Demandez-vous si ces préoccupations vous semblent valables ou si elles semblent que l'utilisateur fait quelque chose de mal.

Ensuite, prenez toutes les données que vous avez recueillies à partir des points ci-dessus et toute autre reconnaissance que vous avez effectuée. Réfléchissez à la question de savoir si vous pensez qu'il est raisonnable que tout ce qui précède ait été truqué par un virus convaincant, un acteur malveillant maléfique sur votre réseau ou Mark Zuckerberg en train de rire. Considérez également que le problème que vous souhaitez éviter (soumettre ou afficher des informations à partir de Fakebook plutôt que de Facebook) et pensez s'il est possible que les conséquences éventuelles (fuite de données) puissent se produire d'une autre manière, comme un virus de capture d'écran ou un enregistreur de frappe en cours d'exécution et juste un enregistrement votre entrée dans le vrai Facebook. Ensuite, déterminez si le risque dépasse la valeur que vous gagneriez à vous connecter à Facebook. Ensuite, réalisez que Facebook ne vous donne aucune valeur et décidez que cela ne vaut pas le risque.

C'est exactement le problème que HTTPS est conçu pour résoudre. Si vous visitez Facebook (ou tout autre site d'ailleurs) en utilisant une URL commençant par https:// ( pashttp://), il existe un certain nombre de mesures de sécurité que votre navigateur utilisera automatiquement pour vous assurer que le site auquel il vous connecte est bien celui qui s'affiche immédiatement après https:// dans la barre d'URL et vous avertir si ce n'est pas le cas.

Passons brièvement en revue ces mesures de sécurité afin de mieux comprendre leur fonctionnement et les conditions dans lesquelles elles sont efficaces (ou inefficaces).

Fonctionnement des noms de domaine

Lorsque vous visitez une URL comme https://www.facebook.com/ la première chose que fera votre navigateur est d'extraire le nom de domaine du site à partir de l'URL que vous avez fournie. Le nom de domaine est la partie de l'URL qui vient après "https: //" au début de l'URL et avant le "/" suivant. Dans ce cas, le nom de domaine est "www.facebook.com".

Le nom de domaine contient plusieurs étiquettes séparées par des points (.). L'étiquette la plus à droite, dans ce cas, com, est le domaine de niveau supérieur. L'étiquette à gauche, dans ce cas facebook, est un sous-domaine du domaine de premier niveau (.com), et toutes les autres étiquettes à gauche de ça, comme www, sont des sous-domaines contrôlés par le propriétaire de ce domaine. Ainsi, alors qu'un domaine comme secure.facebook.com est contrôlée par Facebook (puisqu'ils possèdent le facebook.com nom de domaine), un domaine différent comme www.facebook.com.login.site serait contrôlé par celui qui possède le login.site domaine (probablement pas Facebook).

Il est important que vous compreniez cela, car bien que https://www.facebook.com/ est l'URL correcte pour Facebook, https://other.site.com/www.facebook.com est pas, ni https://www.faceb0ok.com/, https://www.faceboook.com/, ou https://www.facebook.com.secure.site/. Si le nom de domaine que vous voyez dans la barre d'URL ne se termine pas exactement par facebook.com, votre navigateur ne saura pas que vous voulez vraiment vous connecter à Facebook et ne peut donc pas vous empêcher de vous connecter à un autre site qui ne fait que prétendre être Facebook.

Vérification du nom de domaine

Une fois que votre navigateur a le nom de domaine du site que vous visitez, il se connectera à ce site en utilisant un processus appelé poignée de main TLS. (Encore une fois, cela suppose que vous visitez le site via https.) Dans le cadre de ce processus, le serveur auquel vous vous connectez (qu'il s'agisse du vrai serveur ou d'un faux) doit présenter à votre navigateur un fichier spécial appelé certificat TLS . Ce fichier doit contenir une déclaration signée d'une tierce partie connue sous le nom d'autorité de certification à laquelle votre navigateur fait déjà confiance. La déclaration indiquera à votre navigateur quelle clé cryptographique utiliser pour contacter le site Web que vous avez demandé, et votre navigateur demandera au serveur auquel vous vous êtes connecté (qu'il soit réel ou faux) de prouver qu'il contrôle cette clé avant d'envoyer d'autres informations à ce serveur. .

Étant donné que le certificat TLS doit être signé par un tiers auquel votre navigateur fait déjà confiance, le serveur auquel vous parlez ne peut pas truquer les informations de ce certificat. Et parce que le certificat contient la vraie clé du serveur que vous essayez de contacter (dans notre cas, facebook.com), un faux serveur ne pourra pas convaincre votre navigateur qu'il est légitime et votre navigateur affichera un avertissement à vous, vous disant que le site auquel vous vous connectez peut être faux.

Pour en savoir plus sur ce processus, voir Comment fonctionne SSL/TLS? .

Mais est-ce suffisant?

Votre navigateur peut-il être amené à charger une page à partir d'une fausse version de Facebook même si la barre d'URL indique https://www.facebook.com/?

Dans des circonstances normales, non. À condition de vérifier que vous utilisez https et que le nom de domaine est le bon, ces protections intégrées seront généralement suffisantes pour vous assurer que vous parlez vraiment avec le vrai facebook.com.

Il peut cependant y avoir de rares circonstances où quelqu'un pourrait être en mesure d'usurper l'identité de Facebook malgré ces protections. Par exemple, si vous installez une autorité de certification de confiance personnalisée sur votre ordinateur, le propriétaire de cette autorité de certification peut se faire passer pour Facebook. Au travail, votre employeur a peut-être déjà fait quelque chose comme ça sur votre ordinateur de travail, alors soyez prudent lorsque vous naviguez sur le Web avec un ordinateur que vous ne possédez pas. (Il en va de même pour les ordinateurs d'une école ou d'une bibliothèque.) Les logiciels malveillants sur votre ordinateur peuvent également être en mesure d'installer leur propre autorité de certification ou de contourner les protections de votre navigateur d'une autre manière.

Il existe également d'autres moyens plus rares qu'un attaquant pourrait inciter votre navigateur à se connecter à un faux facebook.com, comme compromettre une autorité de certification approuvée par votre navigateur, mais je n'entrerai pas dans ces méthodes en détail, car ils sont très improbables.

Si vous pensez que, malgré ces protections, votre navigateur peut se connecter à un faux facebook.com sans vous en avertir, vous pourrait être en mesure de savoir si c'est le cas en utilisant certaines des méthodes exploré dans réponse d'Adonalsium , mais même ces méthodes ne sont en aucun cas infaillibles.

Mais encore une fois, pour la plupart des utilisateurs, vérifier que vous vous connectez via HTTPS et que le nom de domaine affiché dans la barre d'URL est correct devrait être suffisant pour que vous soyez raisonnablement sûr que vous parlez bien au vrai Facebook.

19
Ajedi32

Le fait que l'URL soit https:// (où s signifie sécurité) et que le navigateur affiche le verrou dans la barre URL en est la preuve. Cela signifie que le protocole HTTPS est utilisé, où les sites Web doivent fournir un certificat prouvant leur identité. En tant qu'utilisateur, vous devez vous assurer que HTTPS est utilisé et que vous êtes sur facebook.com et pas autre chose (comme faceb00k.com).

Cependant, si votre appareil a été piraté ou est contrôlé par quelqu'un d'autre (par exemple votre employeur), vous ne pouvez pas en être sûr (ou quoi que ce soit, d'ailleurs).

10
Anders

Juste pour compléter les réponses déjà très bonnes, et pour suivre un peu le commentaire de user21820 ci-dessus, vous construisez la confiance par parties et par analyse.

Je voulais juste souligner qu'un point fondamental de votre configuration de sécurité dans la situation que vous décrivez est le navigateur. Celui qui a écrit le code du navigateur que vous utilisez a toute liberté de vous montrer que vous accédez à www.facebook.com et d'afficher le certificat vert tout en vous connectant avec le site de votre choix. Vous détecteriez cette situation en reniflant le trafic IP de votre ordinateur, mais pas en regardant le navigateur.

En fin de compte, nous utilisons tous une configuration dans laquelle nous faisons confiance à différentes personnes/sociétés/institutions: qui a écrit le système d'exploitation, qui l'a installé, qui a écrit le bios et les autres micrologiciels dans votre matériel, qui a écrit le navigateur, les certificats installés dans votre système, etc. La plupart des configurations courantes sont bien connues pour être plus ou moins fiables, mais plus que tout, nous faisons confiance aux chiffres: si Microsoft ou Google ou un fabricant d'ordinateurs avaient leur logiciel orienté vers des sites douteux ou volant des sites sensibles informations, ou si Mozilla installe un certificat dangereux, quelqu'un parmi les millions d'utilisateurs remarquerait probablement d'une manière ou d'une autre. Cela ne rend pas impossible que des choses louches se produisent dans votre système ou le mien: peu probable.

5
Martin Argerami

La question d'origine peut avoir deux aspects. L'une est "mes données se retrouvent-elles sur le vrai facebook?". En d'autres termes, suis-je sur le site d'un imposteur? L'autre est: "pourrait-il y avoir une attaque MITM qui espionne ma connexion?".

Dans les deux cas, lorsque le "verrou vert" apparaît dans le navigateur et que nous supposons que le navigateur n'est pas compromis et qu'il possède les bons certificats d'autorité de certification, la réponse à la question équivaut à: "une autorité de certification de confiance pourrait-elle avoir produit un autre certificat avec le nom de domaine "facebook.com". Maintenant, c'est une question difficile à répondre, car pour pouvoir le vérifier, il faut en principe avoir besoin de voir TOUS les certificats émis par TOUTES les CA de confiance, qui est impossible, car ils ne sont écrits sous aucune forme de chaîne de blocs ou similaire. .

Un argument en faveur de la non-conformité de CA serait que l'entreprise d'une CA dépend de sa confiance, et donc que les utilisateurs ne découvrent jamais qu'ils ont été trompés par un certificat frauduleux délivré par ladite CA. Si plusieurs utilisateurs de Facebook se plaignaient d'avoir fini sur un faux livre, ce serait la fin des affaires de cette autorité de certification. C'est un argument valide pour avoir une certaine confiance que l'autorité de certification ne signe pas de certificats sur un faux livre. Cependant, il ne s'agit pas d'un argument contre la signature de certificats de CA par des espions MITM (par exemple, des espions parrainés par l'État). Il n'y a aucun moyen de savoir si le MITM est juste en train d'espionner.

Avec un snooper MITM, à la fin de la journée, vous êtes vraiment connecté au vrai facebook, mais vous n'avez aucun moyen de savoir si vous avez été espionné. Je ne sais pas quel aspect mettait l'accent sur la question d'origine: se retrouver sur Facebook mais être espionné, ou se retrouver sur un faux livre. La "réputation de CA" n'a d'importance que pour le deuxième aspect.

0
entrop-x