Certains constructeurs (qui a dit Lenovo et Dell?) ainsi que des adwares peuvent installer sur votre ordinateur des certificats ssl douteux. Ceux ci peuvent par exemple intercepter les communications SSL pour insérer du contenu de leur choix et augmentent considérablement le risque d’attaque man-in-the-middle.
Microsoft a récemment mis en ligne un outil vous permettant de détecter si des certificats non approuvés par Microsoft ont été installés sur votre machine.
Comment détecter la présence de ces certificats ssl douteux ?
Il vous suffit de télécharger Sigcheck puis d’extraire sigcheck.exe dans le répertoire de votre choix et d’ouvrir un terminal dans ce dernier.
Maintenant lancez la commande
sigcheck -tv
Si tout va bien voici ce qui devrait se passer
D:\Noobunbox\Downloads\sigcheck>sigcheck -tv Sigcheck v2.42 - File version and signature viewer Copyright (C) 2004-2016 Mark Russinovich Sysinternals - www.sysinternals.com Listing valid certificates not rooted to the Microsoft Certificate Trust List: No certificates found.
Que faire si des certificats ssl douteux sont détectés ?
Tout d’abord pas de panique, enfin pas immédiatement, ces certificats que j’appelle douteux ne sont pas forcément tous dangereux et peuvent même se révéler dans certains cas utiles.
Par exemple si vous utilisez ESET SmartSecurity, sigcheck devrait vous prévenir sur la présence du certificat suivant
ESET SSL Filter CA
Cert Status: Valid
Valid Usage: All
Cert Issuer: ESET SSL Filter CA
Serial Number: 15 9E B0 12 5C 6C B4 A2 45 7F 3F 13 58 22 16 81
Thumbprint: 68692014D0F89E8870A61761B3231896561C9EB0
Algorithm: sha256RSA
Valid from: 04:34 13/11/2015
Valid to: 04:34 13/11/2025
Ce n’est pas un bug, ce n’est pas un adaware c’est une feature (référence, référence). ESET fait du MITM via son filtrage du protocole SSL/TLS
Commencez donc par effectuer une recherche sur internet en vous concentrant sur le nom du certificat ainsi que celui de son émetteur.
Ainsi si ce certificat a été installé par un logiciel celui-ci pourrait le réinstaller immédiatement après que vous vous soyez débarrasser du certificat. Il faudra donc dans un premier temps supprimer le programme coupable.
Suppression manuelle des certificats
Si vous le souhaitez, il est possible de supprimer manuellement ces certificats. Dans le menu démarrer cliquez sur Exécuter ou utilisez le raccourci Touche Windows + R et lancez certmgr.msc
Les certificats que vous cherchez se trouvent dans le magasin « Autorités de certification racines de confiance ». Pour les supprimer, rien de plus facile, il vous suffit de faire un clic-droit sur le certificat concerné et de cliquer sur Supprimer
Cependant faites très attention à ce que vous supprimez !
Sources
- How-To-Geek, How to Check for Dangerous, Superfish-Like Certificates on Your Windows PC
- NextInpact, L’affaire SuperFish révèle un problème de sécurité plus vaste avec les certificats