M0skvaC

Alcasar est un portail captif (NAC) utilisé pour filtrer et contrôler les utilisateurs ayant accès à un réseau ouvert sur le Web. C’est un projet français développé initialement au sein du ministère de la Défense. Open source et maintenu par une petite communauté, ce projet répond à un besoin bien réel, mais malheureusement de manière imparfaite : utilisation par défaut du HTTP, emploi de MD5 à des fins de sécurité, utilisation de « crypto-maison », mots de passe utilisateurs transmis en clair… Au final, Alcasar est un NAC au service de l’usurpation d’identité de ses utilisateurs.

CheckMyHTTPS est un projet open source français censé, sur demande, indiquer à l’utilisateur si sa connexion est surveillée ou non via une attaque de type « Man-In-The-Middle » (MITM). Lorsque l’on navigue sur le Web, le petit cadenas (souvent vert) affiché par votre navigateur indique que la communication est « sécurisée ». Si ce cadenas rassure l’ensemble des néophytes, il n’est en réalité pas si complexe à usurper. Les attaques MITM appliquées au protocole TLS/SSL permettent d’espionner les communications, tout en gardant ce cadenas activé fournissant ainsi seulement un sentiment de sécurité. Néanmoins, nous avons trouvé comment un attaquant pourrait mettre à mal cette sécurité en utilisant précisément l’attaque dont il cherche à se prémunir. CheckMyHTTPS est un exemple de produit procurant une fausse illusion de sécurité parce qu’il est en retard sur les technologies modernes.