web-dev-qa-db-fra.com

Mon collège me force à installer son certificat SSL. Comment protéger ma vie privée?

L'administration de mon collège nous oblige à installer le certificat SSL de Cyberoam Firewall afin qu'ils puissent voir tout le trafic crypté pour "améliorer notre sécurité". Si je n'installe pas le certificat, je ne pourrai pas utiliser leur réseau.

Comment puis-je protéger ma vie privée dans une telle situation? L'utilisation d'un VPN sera-t-elle suffisante pour masquer tout mon trafic ou il existe d'autres moyens?

231
svetaketu

N'installez pas leur certificat sur une installation de périphérique/OS que vous souhaitez utiliser pour une activité privée. Une fois que vous le faites, votre trafic est soumis à des attaques MITM même si vous n'utilisez pas le réseau de votre collège . Une telle attaque nécessite d'avoir la clé privée du certificat que vous avez installé, mais en pratique, cela est assez facile car ces "produits de sécurité" sont si mal conçus et utilisent souvent soit une génération de clé très faible, soit une clé privée fixe identique pour tous les déploiements et disponibles pour tous leurs clients. Dans un commentaire qui a depuis été déplacé sur le chat, TOOGAM a écrit:

Problème spécifique connu sur le certificat de ce fournisseur spécifique "Il est donc possible d'intercepter le trafic de toute victime d'un appareil Cyberoam avec n'importe quel autre appareil Cyberoam - ou d'extraire la clé de l'appareil et de l'importer dans un autre DPI dispositifs"

Si vous n'avez pas besoin de ressources sur leur réseau, utilisez simplement le partage de connexion Wi-Fi sur votre téléphone ou obtenez un dongle USB 3G dédié ou similaire pour une utilisation lorsque vous êtes sur le campus. Alternativement, si le trafic non HTTP n'est pas soumis au MITM, vous pourrez peut-être utiliser un VPN sans installer le certificat. Dans ce cas, obtenez simplement un fournisseur VPN bon marché ou un VPN sur votre réseau domestique si vous en avez un.

Si vous avez besoin d'accéder à des ressources uniquement disponibles sur le réseau du campus, installez un autre système d'exploitation sur une machine virtuelle avec l'autorité de certification MITM installée uniquement sur la machine virtuelle et utilisez le navigateur dans le VM for accéder à ces ressources.

Un VPN est certainement une bonne solution, à condition de ne pas le bloquer également.

Cependant, la meilleure solution pour protéger votre vie privée est probablement de faire de votre mieux pour faire annuler cette politique. Il s'agit d'une politique de "sécurité" absolument odieuse. C'est littéralement une attaque intégrée d'homme au milieu contre tout le monde sur le campus. Si leur pare-feu est compromis, l'attaquant peut alors intercepter tout ce que quiconque sur le campus a envoyé sur Internet, y compris les mots de passe, les numéros de carte de crédit, etc.

Il s'avère que ces appareils sont encore pires qu'ils ne semblaient au départ. Comme TOOGAM l'a souligné dans un commentaire, les gens du projet Tor ont constaté qu'au moins en 2012, tous ces appareils utilisaient le même certificat CA! Cela signifie que toute personne ayant accès à l'un de ces dispositifs d'inspection approfondie des paquets depuis Cyberoam ou à un certificat CA exporté depuis l'un des ils peuvent intercepter le trafic de toute personne qui a installé ce certificat d'autorité de certification racine. Même si cela a été résolu au cours des 3 dernières années, cela jette un doute extrême sur la compétence des fabricants de cet appareil pour le sécuriser. C'est une raison de plus pour laquelle vous ne devez absolument pas installer ce certificat et vous devriez recueillir autant de soutien que possible pour la suppression de cet appareil de votre campus.

En outre, comme cela a été souligné dans des commentaires qui ont depuis été nettoyés, l'utilisation de cet appareil viole les conditions d'utilisation de presque tous les sites Web de la planète, car il divulgue vos informations de connexion à un tiers (le collège). Cela signifie que vous ne peut pas légalement respecter à la fois cette politique et les conditions d'utilisation de presque tous les sites Web.

S'il s'agissait d'un collège public aux États-Unis et qu'ils n'avaient pas retiré cet appareil immédiatement, pour une faille de sécurité de cette ampleur, j'envisagerais fortement de contacter mon local FBI Cyber ​​Task Force , qui devrait être prêt à donner au collège une conversation très sévère. Ils prennent ce genre de chose très au sérieux et pour une bonne raison.

142
reirab

Votre collège fournit le service "connexion réseau" sous certaines conditions, dont la possibilité pour les administrateurs système du collège d'inspecter tout le trafic. Bien qu'il soit tentant de vaincre le caractère indiscret de ces administrateurs système avec un gadget technique (par exemple, un VPN, comme cela a été suggéré dans une autre réponse), ce serait une tentative explicite de vaincre les "systèmes de sécurité" du réseau universitaire et cela peut vous atterrir dans un énorme tas de problèmes. La solution la plus sage serait alors de ne pas le faire et d'utiliser à la place votre propre Internet (par exemple via votre téléphone personnel).

73
Thomas Pornin

N'utilisez leur réseau pour rien personnel. C'est la meilleure façon de protéger votre vie privée contre eux.

Si vous n'avez pas le choix, utilisez une machine virtuelle et installez le certificat sur la machine virtuelle au lieu de votre machine principale. Cela peut vous permettre de protéger votre vie privée.

Personnellement, j'ai toujours utilisé un ordinateur séparé pour ce genre de problèmes. Je n'autoriserais en aucun cas une entreprise/un établissement d'enseignement à installer quoi que ce soit sur mon propre équipement, à moins que je ne prévoie le faire disparaître de l'orbite plus tard.

60
Mark Buffalo

Si ssh n'est pas filtré, vous pouvez utiliser ssh pour produire un proxy SOCKS exécuté sur un tunnel ssh. Vous n'avez pas besoin d'installer de logiciel pour que cela fonctionne. Vous n'avez pas besoin d'un logiciel VPN. Les éléments suivants fonctionneront sur une machine Linux ou un Mac (et pourront probablement être configurés pour fonctionner sous Windows):

  • Obtenez un compte Shell (ou une machine virtuelle, mais c'est trop) quelque part

  • Vérifiez que vous pouvez vous y connecter avec ssh de l'extérieur de votre institution et accepter la clé Host (en dehors de l'institution pour vous assurer qu'ils ne sont pas MTiM' ssh - peu probable)

  • Dans un terminal ssh -D 8080 -N [email protected] (notez que cela semble se bloquer)

  • Utilisez maintenant 127.0.0.1:8080 comme proxy SOCKS

Une fois que cela fonctionne, vous pouvez (facultativement) utiliser autossh à la place de ssh et cela gardera le tunnel ouvert - vous devrez probablement l'installer.

Instructions Windows non testées (nécessitant le téléchargement de PuTTY) ici .

La raison pour laquelle cela fonctionne est que votre trafic HTTPS ne circule plus sur le port 443. Il circule (rechiffré) sur le port 22. Par hypothèse, ils n'interceptent pas le protocole ssh. Et s'ils le sont, vous pouvez le voir. Votre trafic ressemble à ssh trafic (car il s'agit de ssh trafic) - bien qu'une analyse détaillée du trafic puisse suggérer qu'il l'est trafic ssh transportant des requêtes Web mandatées. Il n'est donc pas immédiatement identifiable comme trafic VPN. De plus, votre collège ne bloquera probablement pas le trafic ssh car il sera utilisé par les étudiants CS.

Un autre itinéraire serait d'attacher à votre téléphone portable et d'utiliser un plan de données.

44
abligh

Lisez les CGU.

Vérifiez si vous êtes autorisé à utiliser un VPN (certains protocoles peuvent être interdits, les VPN peuvent l'être également).

Si vous l'êtes, utilisez un VPN et ne vous connectez jamais à un site directement via leur réseau. (Sauf si vous utilisez l'épinglage de certificat, mais la connexion est susceptible d'échouer car le certificat ne correspondra pas). Des tables de routage précises peuvent vous y aider. Il n'est peut-être même pas nécessaire d'installer le certificat (vous en aurez peut-être besoin pour installer le certificat pour vous connecter à quelque chose lors de la connexion au réseau).

Si vous n'êtes pas autorisé à le faire, eh bien ...

  • N'installez pas le certificat sur un ordinateur que vous utilisez pour vos affaires personnelles. Utilisez une autre machine ou une machine virtuelle. Ne faites jamais rien de personnel sur cet ordinateur/VM.
  • Parlez-en à vos camarades. Sensibilisez-vous à ce problème autour de vous.
  • Portez l'affaire devant l'autorité compétente. Peut être demandé sur http://law.stackexchange.com pour savoir si vous pouvez protester contre cela.

Ne faites rien contre les CGU, c'est le meilleur moyen d'être simplement banni du réseau, ou pire.

17
njzk2

N'utilisez pas le réseau.

C'est à peu près votre seule option. Toute tentative de contourner leurs mesures de "sécurité" serait très probablement considérée comme un "accès non autorisé" en vertu de la CFAA (en supposant la juridiction américaine) et pourrait entraîner de nombreuses années de prison.

Vous pouvez essayer de les traduire en justice, mais vos chances sont plutôt minces. Les institutions publiques et privées effectuent ce type de surveillance et d'interception des réseaux depuis de nombreuses années sans enfreindre la loi.

11
tylerl

nous oblige à installer le certificat SSL de Cyberoam Firewall afin qu'ils puissent visualiser tout le trafic crypté pour "améliorer notre sécurité".

Les logiciels malveillants sont également envoyés via HTTPS, il est donc probablement de leur intention d'améliorer la sécurité en analysant le trafic crypté pour les logiciels malveillants. S'ils veulent simplement bloquer l'accès à certains sites, ils pourraient probablement le faire sans interception SSL.

L'interception SSL est très courante dans les entreprises pour exactement la même raison, c'est-à-dire pour protéger l'entreprise contre les logiciels malveillants.

L'utilisation d'un VPN sera-t-elle suffisante pour masquer tout mon trafic ou il existe d'autres moyens?

Cela dépend de la configuration de leur réseau. S'ils sont assez intelligents, ils bloqueront l'utilisation du VPN, etc. Et j'imagine qu'ils interdisent explicitement de contourner le pare-feu à l'aide de ces technologies, car cela signifie contourner la protection et rendre le réseau moins sécurisé. Attendez-vous donc à perdre la connexion réseau si vous utilisez un VPN.

Si je n'installe pas le certificat, je ne pourrai pas utiliser leur réseau.

Si vous êtes propriétaire du réseau, il existe suffisamment de moyens pour attaquer l'ordinateur ou envahir la vie privée des utilisateurs, même sans utiliser l'interception SSL. Si vous ne leur faites pas confiance, n'utilisez pas leur réseau, qu'ils utilisent ou non l'interception SSL.

10
Steffen Ullrich

Comment pourraient-ils vérifier si vous aviez ou non installé leur certificat SSL? Exécutent-ils également des logiciels sur votre ordinateur local? Sinon, je pense que les effets négatifs seraient simplement que vous deviez faire face à de nombreuses erreurs de certificat de votre côté.

Ce que je ferais si j'étais vous, c'est à double démarrage ou à virtualiser. Ayez votre dangereux OS où vous installez tous leurs "outils de sécurité" et certificats et (et n'utilisez rien que vous ne voulez pas que quelqu'un voie), puis quand vous voulez la confidentialité, revenez à votre système d'exploitation sécurisé. Si vous vivez sur le campus et que vous utiliserez à peu près toujours leur réseau, demandez simplement à votre système d'exploitation sécurisé d'utiliser un VPN par défaut, ce qui devrait contourner leurs besoins. Il y a des façons dont ils peuvent le remarquer, mais vous pouvez toujours leur dire que vous avez un emploi ou quelque chose et que vous en avez besoin pour travailler, et ils pourraient vous croire et vous laisser seuls.

Sinon, je dirais obtenir un hotspot cellulaire. Mais je sais que lorsque j'étais au collège, je ne pouvais pas me permettre le type de plan de données dont il aurait besoin.

5
Justin Beale

Solution proposée: utilisez une machine virtuelle avec le certificat installé lorsque vous souhaitez utiliser leur réseau. De cette façon, il vous sera très clair lorsque vous utilisez leur réseau et quand vous ne l'êtes pas. Vous pouvez également supprimer le VM lorsque vous n'avez plus besoin d'utiliser leur réseau.

3
sixtyfootersdude

Ne contournez pas le pare-feu. Certaines autres réponses ont déjà couvert les options techniques, mais cela est déconseillé - tous les produits de filtrage que j'ai vus bloqueront le contournement, ou l'autoriseront mais en informeront un administrateur , ce qui vous causera des ennuis. Cela peut sembler un hack intelligent de faire quelque chose que vous n'êtes pas autorisé à faire, mais les autorités vous piétineront - soit en vous interdisant du réseau, ce qui rendra vos études difficiles, soit en vous expulsant du collège. Quoi qu'il en soit, l'impact potentiel sur votre vie à long terme ne vaut pas le gain à court terme d'avoir une connexion Internet non filtrée au collège.

La seule véritable option technique est d'utiliser votre propre connexion Internet via un mobile 3G ou une technologie similaire. Vous pouvez installer un proxy local et acheminer vos connexions HTTPS sur la liaison 3G et tout le reste sur le réseau du collège.


L'interception SSL par des filtres Internet dans les établissements d'enseignement devient une pratique répandue. Si vous souhaitez prendre position contre cela, étudiez vos options juridiques. Dans de nombreuses juridictions, l'interception de communications privées sans le consentement des deux parties constitue une violation de la loi sur l'écoute électronique. Même si l'argument soutient que vous avez volontairement consenti à l'interception en installant le certificat SSL, il est certain que le site Web distant ne l'a pas fait. Pour autant que je sache, aucun étudiant n'a jamais contesté l'interception SSL sur cette base, mais quelqu'un doit être le premier. Des cadres supérieurs d'une entreprise de filtrage m'ont dit une fois que si l'interception SSL est illégale, ce n'est pas leur problème - c'est leur client qui enfreint la loi - et ils doivent le proposer en option, sinon ils perdront des ventes.


La sécurité de ces filtres/pare-feu Internet est souvent terriblement mauvaise:

  • Certains utilisent le même certificat SSL pour tous leurs clients. Trivial à extraire avec un accès administrateur ou physique. Si un pare-feu est compromis, chaque pare-feu l'est.

  • Utilisation d'anciens logiciels présentant des failles de sécurité connues. Je connais un fournisseur commercial avec une gamme de produits actuelle basée sur un logiciel sorti en 2004. Si vous pouvez obtenir un accès utilisateur, l'accès root est trivial.

  • Accès à distance non sécurisé. Les équipes de support utilisent généralement le même mot de passe d'installation et de maintenance à distance pour tous les clients. Un attaquant qui connaît ce mot de passe peut accéder à distance à n'importe quel système client.

  • Il existe une "liste blanche" de sites sur lesquels l'interception SSL n'est pas censée être effectuée (comme les grandes banques). Cependant, si vous avez accès au système, il est trivial de modifier le logiciel pour ignorer ou supprimer la liste blanche.

  • Je connais au moins un cas où un attaquant externe a réussi à accéder au serveur de développement contenant le code source d'un important pare-feu. Le développeur principal m'a dit: "nous n'avons aucune idée de la distance qu'ils ont parcourue dans le réseau interne, ni de ce qu'ils ont fait une fois qu'ils y étaient."

Le message à retenir est que ces appareils sont assez vulnérables à un pirate informatique déterminé et qu'une fois l'accès obtenu, ils pourraient intercepter trivialement chaque mot de passe de chaque connexion SSL de centaines de milliers d'utilisateurs. Je suis surpris que nous n'ayons pas encore entendu parler de ce type d'attaque, mais peut-être que c'est déjà le cas et que les pirates informatiques sont trop occupés à vider leurs comptes bancaires pour s'en vanter. La connaissance du public d'une telle attaque serait extrêmement dommageable pour tout fournisseur de pare-feu/filtre, et ils feraient tout ce qu'ils pourraient pour le couvrir.

Mise à jour de décembre 2015 : Portes dérobées trouvées dans le pare-feu Juniper, présentes depuis 2012.

1
bain

Vous pouvez utiliser leur certificat et utiliser un VPN en plus de cela.

Vous pouvez créer une table de routage personnalisée, en routant tout sauf le trafic réseau interne via le VPN. De cette façon, ils ne peuvent que décrypter les connexions entre vous et les systèmes du réseau collégial. Tout le reste sera acheminé via votre connexion VPN et sera sécurisé.

Mais l'utilisation d'un VPN fera que tout votre trafic sera dirigé vers un seul serveur (votre fournisseur VPN), et aura sûrement l'air très suspect sur les journaux. Si votre collège n'autorise pas les connexions VPN, il est préférable de ne pas en utiliser une ou de ne l'utiliser que pour des tâches spécifiques (comme la vérification des e-mails, par exemple). L'utilisation de FoxyProxy sur Firefox peut vous y aider.

1
ThoriumBR

Je crois que vous pouvez utiliser en toute sécurité un appareil OS Chrome OS, avec un compte Google "école" dédié que vous utilisez uniquement pour accéder au réseau de l'école. Passer à un autre compte (par exemple, votre compte personnel) n'utilisera plus le certificat de l'école ou les paramètres de cet utilisateur, et Chrome OS est conçu pour isoler les comptes en toute sécurité .

Ce article d'aide (écrit pour les administrateurs de domaine, pas pour les utilisateurs) mentionne que cela est possible, et note également qu'il ne s'applique que lorsque l'utilisateur du domaine est connecté.

1
dimo414