Vous avez une question ?

Créer un sujet

internet & fixe protéger mes données et mon accès internet

Erreur Certificat SSL Accès à distance Livebox

contributeur
7 628  

Erreur Certificat SSL Accès à distance Livebox

Bonjour,

 

Edit : Le problème concerne une Livebox FTTH v2 ZTE dont le firmware est normalement à jour

 

J'ai récemment activé l'accès à distance sur ma livebox couplé avec une adresse No-IP pour en faciliter l'accès. Le tout fonctionne très bien, j'ai parfaitement accès à l'interface de ma livebox depuis l'extérieur et j'arrive à m'y connecter. Seulement mon navigateur m'indique systématiquement que le certificat SSL n'est pas valide (cf. captures d'écran), d'où ma question : Comment régler ce problème ? Et en l'état quel sont les risques potentiels ?

 

Erreur Certificat SSL

 Propriétés du Certificat "enfant"Propriétés du Certificat "parent"

Merci d'avance pour vos réponses

Balises (3)
4 RÉPONSES 4
#TopMembre
7 507  

Re : Erreur Certificat SSL Accès à distance Livebox

Bonjour Akoun

Merci d'avoir posté ces copies d'écran. Elles sont très lisibles et permettent de tout expliquer.

 

Parmi les principes du https il y a le recours à des "tiers de confiance" comme Thawte, Verisign, ... (il y en a des centaines de par le monde).

Une entreprise peut demander à ces "Notaires d'Internet" de leur créer un certificat. Ce certificat sera échangé lors de la connexion sécurisé. Le certificat sera fourni sous forme chiffrée et le navigateur dispose d'une clé qui ne permet pas de générer de clé mais de vérifier un chiffrement. Les notaires fournissent leurs clés publiques (celles qui permettent de vérifier un chiffrement ou une signature) aux vendeurs de navigateurs pour qu'ils soient intégrés dès le départ.

Qund tu te connectes au site "LesOeufDeSchtroumpf.be" pour y acheter des graines de Marsupilami, le site t'envoie sa signature chiffrée par BelgoSecureSign (pour les labels : le tout de mon cru) or BelgoSecureSign a publié sa clé publique qui permet seulement de vérifier les signatures, ton navigateur utilise cette clé pour contrôler la signature reçue, avec Firefox quand le controle est positif, le nom du site apparait en vert et tu es certain de ne pas être connecté à un site falsifié.

 

Dans le cas présent : ton navigateur, ici il s'agit de Chrome (que je n'aime pas parce qu'il est le valet de Google) qui a trouvé que la connexion avec la box était une session ssl et il a cherché la signature de l'organisme qui a fournit le certificat pour cette application.

Il semblerait qu'Orange n'ait pas pensé à fournir le certificat à Google et donc Chrome ne peut pas vérifier la signature.

 

Tu devrais pouvoir accepter "pour une fois" et vérifier que c'est bien avec ta box que tu es connecté.

Si ce n'est pas le cas, commence par prévenir la cellule abuse@orange.fr et signale le problème ici. Ce genre d'usurpation pourrait avoir de très grosses conséquences.

Si tu es bien connecté avec ta box, déconnecte toi et reconnecte toi immédiatement pour cette fois ci accepter définitivement la connexion.

Ca devrait conduire Chrome à se souvenir de cette signature et l'accepter à chaque fois.

 

Pour voir les certificats sous windows

aller dans options internet soit par le panneau de configuration soit par IE (menu > options)

Puis choisir l'onglet contenus

Cliquer sur certificats

Le premier onglet contient les certificats des tiers de confiance

Choisis en un au hasard et clique sur visualisation, tu découvriras une toute partie des données qui sont utilisées pour protéger les échanges.

 

Avec Firefox

Il faut aller dans Outils > Options > Avancés Onglet Certificats

 

Le principe de la sécurité est basé sur la dyssymétrie des cléfs : un émetteur possède une clé qui lui permet de créer des signatures : sa clé privée .  Un algorithme mathématique datant de la seconde partie du XXième siècle permet d'en déduire des clés plus simples qui permettent de vérifier qu'une donnée signée par la clé privée n'a pas été altérée, ces clés sont dites publiques et utilisées dans le protocole https pour vérifier que les serveurs sécurisés ne sont pas contrefaits.

C'est utilisé pour vérifier les login/password lors des connexions sur les sites qui veulent identifier leurs membres, sur les sites de paiement bien évidemment , etcc ...

 

Ici il semble qu'une négligence ou un oubli a fait qu'une clé publique n'a pas été publiée, ceci empêchant de vérifier l'authenticité de la connexion vers ta box.

 

Un petit retour d'Orange me semblerait utile : pour corriger les imprécisions ou erreurs ci dessus et surtout pour annoncer que le problème est résolu.

 

Monsieur et/ou Madame Orange, nous sommes toutes ouïes

 

 

 

 

 

 

 

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Balises (3)
contributeur
7 475  

Re : Erreur Certificat SSL Accès à distance Livebox

Merci beaucoup pour ces informations

 

Quand tu dis :


@PhilDur a écrit :

vérifier que c'est bien avec ta box que tu es connecté.


 

 S'agit-il seulement de vérifier l'URL présente dans la barre d'adresse ou y a-t-il une technique spécifique ?

 

 

Une autre question me vient à l'esprit suite à tes explications :

 

L'IP délivrée par Orange étant dynamique pour les particuliers, il est quasiment obligatoire d'utiliser un système DDNS (du moins si l'on souhaite accèder facilement à sa box). Si j'accède à ma box par un sous-domaine DDNS ou un sous-domaine personnel (configuré pour pointer sur le sous-domaine DDNS par un entregistrement CNAME), le certificat sera-t-il tout de même considéré comme valide par mon navigateur ?

 

Je comprends qu'Orange soit en mesure de délivrer un certificat pour l'adresse IP qui m'est attribuée (vu que c'est Orange qui en est propritaire), en revanche pour un nom de domaine dont Orange n'est pas propriétaire je ne vois pas très bien comment cela pourrait fonctionner.

 

Merci encore pour tes explications en tout cas

 

 

 

 

#TopMembre
7 422  

Re : Erreur Certificat SSL Accès à distance Livebox


@Akoun a écrit :

Quand tu dis :


@PhilDur a écrit :

vérifier que c'est bien avec ta box que tu es connecté.


 

 S'agit-il seulement de vérifier l'URL présente dans la barre d'adresse ou y a-t-il une technique spécifique ?

...

L'IP délivrée par Orange étant dynamique pour les particuliers, il est quasiment obligatoire d'utiliser un système DDNS (du moins si l'on souhaite accèder facilement à sa box). Si j'accède à ma box par un sous-domaine DDNS ou un sous-domaine personnel (configuré pour pointer sur le sous-domaine DDNS par un entregistrement CNAME), le certificat sera-t-il tout de même considéré comme valide par mon navigateur ?

 

Je comprends qu'Orange soit en mesure de délivrer un certificat pour l'adresse IP qui m'est attribuée (vu que c'est Orange qui en est propritaire), en revanche pour un nom de domaine dont Orange n'est pas propriétaire je ne vois pas très bien comment cela pourrait fonctionner.

 

Merci encore pour tes explications en tout cas

 

 


Question 1 - Est-ce bien ma box

Déjà si tu tombes sur une Livebox, c'est déjà un début de réponse, ensuite le mot de passe que tu as utilisé, les données que tu vas y trouver devraient suffire à te convaincre que tu es bien en présence de ta box.

 

Mais là tu viens de me donner une idée, il suffirait avant de partir en vacances de lui connecter une clé USB avec un gros fichier (photos, documentation, ... ) archivé par 7-zip et chiffré avec une clé à toi pour vérifier qu'il s'agit bien de ta box.  Tout en rédigeant, je trouve ta question géniale, je vais chercher les inconvénients mais je pense que tu viens de me faire trouver un très bon moyen de "reconnaitre ma box". Au passage plus le fichier sera gros et plus la  "passphrase sera longue" plus le risque de fraude sera moindre.

 

Question 2 - Certificat et adresse IP dynamique

Le certificat que tu récupère est le certificat de la machine, j'ai bossé sur ces sujets mais probablement pas assez pour en être certain. Tu peux fair certifier ton site, sans pour autant certifier son IP.

Mais là ... je sors de mon domaine de compétences et je n'ai plus ma doc sous la main. Retraité depuis 4 ans.

En toute rigueur, ce n'est pas tonNonCezNoIp.no-ip.org qui est certifié, mais ça serait plutôt "Livebox"

 

Enfin essaye le coup de la clé USB et ça devrait être suffisant, car ni Orange, ni Verisign n'ont quoi que ce soit à voir dans cette signture. C'est un peu comme si tu étais ton propre gestionnaire de clés.

 

 

 

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
contributeur
7 359  

Re : Erreur Certificat SSL Accès à distance Livebox

Edit : Après avoir fait quelques recherches, la question n'a pas l'air simple à résoudre...
@PhilDur a écrit :

Question 1 - Est-ce bien ma box

Déjà si tu tombes sur une Livebox, c'est déjà un début de réponse, ensuite le mot de passe que tu as utilisé, les données que tu vas y trouver devraient suffire à te convaincre que tu es bien en présence de ta box.

@PhilDur a écrit :

Mais là tu viens de me donner une idée, il suffirait avant de partir en vacances de lui connecter une clé USB avec un gros fichier (photos, documentation, ... ) archivé par 7-zip et chiffré avec une clé à toi pour vérifier qu'il s'agit bien de ta box.  Tout en rédigeant, je trouve ta question géniale, je vais chercher les inconvénients mais je pense que tu viens de me faire trouver un très bon moyen de "reconnaitre ma box". Au passage plus le fichier sera gros et plus la  "passphrase sera longue" plus le risque de fraude sera moindre.

 

Là je suis un peu étonné : pour accéder aux données présentes sur ma livebox, je dois m’authentifier. Or si je m'authentifie et que je ne suis pas réellement en liaison avec ma box (interface similaire mais à but frauduleux), je risque de donner mes informations d'authentification à une personne mal intentionnée (principe du phising).

 

Pour moi des risques subsitent au niveau du fournisseur DDNS, si jamais celui-ci est piraté et que le domaine NO-IP que j'utilise est redirigé vers autre chose que ma livebox. Pour le reste il s'agirait plutôt d'attaques situées sur mon réseau ou mon ordianteur. Donc si je suis sur le bon domaine, que le fournisseur DDNS est fiable et mon réseau et mon ordinateur sont sécurisés, je pense qu'il n'y aura pas de soucis. Mais je peux me tromper...

 

@PhilDur a écrit :

Question 2 - Certificat et adresse IP dynamique

Le certificat que tu récupère est le certificat de la machine, j'ai bossé sur ces sujets mais probablement pas assez pour en être certain. Tu peux fair certifier ton site, sans pour autant certifier son IP.

Mais là ... je sors de mon domaine de compétences et je n'ai plus ma doc sous la main. Retraité depuis 4 ans.

En toute rigueur, ce n'est pas tonNonCezNoIp.no-ip.org qui est certifié, mais ça serait plutôt "Livebox"

Enfin essaye le coup de la clé USB et ça devrait être suffisant, car ni Orange, ni Verisign n'ont quoi que ce soit à voir dans cette signture. C'est un peu comme si tu étais ton propre gestionnaire de clés.


Je n'ai malheureusement pas assez de connaissances sur le sujet non plus, il serait vraiment intéressant d'avoir des réponses de la part d'Orange à ce sujet.

Vous avez une question ?

Créer un sujet
À la une

En raison de la crise actuelle, tous nos conseillers font leur maximum pour vous venir en aide.

N'hésitez pas à jeter un œil à cette nouvelle FAQ spéciale Covid-19  sur vos questions courantes. Cette dernière sera alimentée au fil du temps.

Trouvez les réponses à toutes vos questions

De nombreuses discussions sur les sujets qui vous intéressent :

158 membres connectés
et 7819 invités

Tous les membres en ligne

Infos utiles sur la Fibre

Tout savoir sur la Fibre