Le Blog Utux

HTTP 200 GET /

ESET Nod32 usurpe mes certificats SSL ?

Rédigé par uTux 5 commentaires

J'ai un ordinateur de gaming sous Windows avec l'antivirus ESET Nod32 (il me restait une licence dans un coin). Et ce matin j'ai remarqué un truc intéressant : ce bougre usurpe l'identité de mes certificats SSL. En effet mon blog, utux.fr, est signé par Let's Encrypt. Or, sur ma machine avec ESET Nod32 installé, voici ce que Firefox affiche :

ESET

ESET installe sa propre autorité de certification dans Windows (ce qui rend l'usurpation possible) et re signe les certificats que vous utilisez. Pourquoi ? Le but des certificats signés c'est pas justement de valider la chaîne de confiance jusqu'au serveur ? D'empêcher des interceptions ? Ce que fait ESET Nod32 est justement ce que l'on cherche à éviter non ? Que se passe-t-il si une porte dérobée est découverte dans Nod32 et permet à des personnes mal intentionnées de signer tout et n'importe quoi sur ma machine ?

5 commentaires

#1  - Matthieu a dit :

Je pense que c'est nécessaire pour le filtre web. Ainsi il agit comme un proxy sur le trafic web et il peut bloquer les choses malveillantes avant qu'elle n'arrivent au navigateur. Comme c'est un agent de confiance pour toi, il vérifie que les cohérences des certificats a la place du navigateur. D'ailleurs regarde tes réglages de proxy dans le navigateur il doit y être. Et la signature des certificats est la pour pas que le navigateur râle a chaque site visité. Mais si tu vas sur un site malveillant (ou un test SSL) tu dois avoir une alerte de l'antivirus si il fait bien son boulot.

Répondre
#2  - uTux a dit :

Un proxy n'a pas à trafiquer les certificats.
Je ne comprends toujours pas quel est le but de la manœuvre.

Répondre
#3  - Pazns a dit :

Tout simplement pour analyser le contenu web même à travers HTTPS.
Pour "protéger" l'utilisateur...
Non seulement sur le plan éthique c'est peu agréable, mais en plus c'est assez inquiétant qu'un logiciel puisse MITM tout le trafic comme ça.
Windows.

Répondre
#4  - craintdegun a dit :

Avast fait également cela il me semble (particulièrement si on a la protection mail activé et un thunderbird qui souhaite se connecter à un serveur messagerie : il y a un souci de certificat)

Répondre
#5  - Strik-Strak a dit :

Je ne sais pas si ça a changé depuis, mais j'ai vu le même cas pour Avast il y a quelques temps.

Répondre

Écrire un commentaire

Quelle est le troisième caractère du mot w4a5uj3 ?