Attention : Avast déchiffre le SSL/TLS à la volée
lundi 1 décembre 2014 à 20:44Liens > Liens 01/12/2014
Aujourd'hui, je boote sous Windows, et après quelques reboots suite aux mises à jour du système et de l'antivirus, je vais faire un tour sur un site en HTTPS.
Et là, surprise : CertPatrol m'avertit que le CA du certificat a changé. Bon, ça arrive tellement souvent que je clique quasiment par automatisme... sauf que là, je vois au moment où je clique "Avast quelque chose" en CA (et bien sûr je le vois une fois cliqué, donc trop tard).
Oulà ! Donc : Avast installe son propre CA pour faire des scans antivirus des flux HTTPS. Et effectivement, en allant chercher dans les options, on voit bien cette possibilité.
Il faut décliquer l'analyse de flux HTTPS, ou désactiver la surveillance web, pour s'en débarrasser.
Le problème est bien sûr que c'est activé par défaut, que tous ceux qui installent Avast se voient faire confiance d'office à un CA qui peut rediriger vers un autre site sans que vous ne vous en aperceviez, voire collecter vos mots de passe pour les envoyer... et même si le logiciel lui-même ne le fait pas maintenant, il le fera peut-être plus tard (vu qu'ils changent le fonctionnement à ce point sans prévenir, c'est possible, ou alors tout simplement en se faisant véroler).
Bref, si vous installez Avast, pensez à supprimer cette surveillance !
(Permalink)
Strak.ch | Actu et liens en vrac > Liens 01/12/2014
J'avais moins "peur" d'Avast car ce n'est plus la passoire d'il y a quelques années, mais ces pratiques sont bien pires! Appel au boycott.
(Permalink)
Choses vues, sur le web et ailleurs 02/12/2014
J'ai rien compris :(
Quelqu'un pour m’expliquer ?
(Permalink)
Aujourd'hui, je boote sous Windows, et après quelques reboots suite aux mises à jour du système et de l'antivirus, je vais faire un tour sur un site en HTTPS.
Et là, surprise : CertPatrol m'avertit que le CA du certificat a changé. Bon, ça arrive tellement souvent que je clique quasiment par automatisme... sauf que là, je vois au moment où je clique "Avast quelque chose" en CA (et bien sûr je le vois une fois cliqué, donc trop tard).
Oulà ! Donc : Avast installe son propre CA pour faire des scans antivirus des flux HTTPS. Et effectivement, en allant chercher dans les options, on voit bien cette possibilité.
Il faut décliquer l'analyse de flux HTTPS, ou désactiver la surveillance web, pour s'en débarrasser.
Le problème est bien sûr que c'est activé par défaut, que tous ceux qui installent Avast se voient faire confiance d'office à un CA qui peut rediriger vers un autre site sans que vous ne vous en aperceviez, voire collecter vos mots de passe pour les envoyer... et même si le logiciel lui-même ne le fait pas maintenant, il le fera peut-être plus tard (vu qu'ils changent le fonctionnement à ce point sans prévenir, c'est possible, ou alors tout simplement en se faisant véroler).
Bref, si vous installez Avast, pensez à supprimer cette surveillance !
(Permalink)
Strak.ch | Actu et liens en vrac > Liens 01/12/2014
J'avais moins "peur" d'Avast car ce n'est plus la passoire d'il y a quelques années, mais ces pratiques sont bien pires! Appel au boycott.
(Permalink)
Choses vues, sur le web et ailleurs 02/12/2014
J'ai rien compris :(
Quelqu'un pour m’expliquer ?
(Permalink)