Détecter et supprimer des certificats ssl douteux

2 février 2016 Windows 0 Commentaire

Certains constructeurs (qui a dit Lenovo et Dell?) ainsi que des adwares peuvent installer sur votre ordinateur des certificats ssl douteux. Ceux ci peuvent par exemple intercepter les communications SSL pour insérer du contenu de leur choix et augmentent considérablement le risque d’attaque man-in-the-middle.

Microsoft a récemment mis en ligne un outil vous permettant de détecter si des certificats non approuvés par Microsoft ont été installés sur votre machine.

 

Comment détecter la présence de ces certificats ssl douteux ?

Il vous suffit de télécharger Sigcheck puis d’extraire sigcheck.exe dans le répertoire de votre choix et d’ouvrir un terminal dans ce dernier.

Maintenant lancez la commande

sigcheck -tv

 

Si tout va bien voici ce qui devrait se passer

D:\Noobunbox\Downloads\sigcheck>sigcheck -tv

Sigcheck v2.42 - File version and signature viewer
Copyright (C) 2004-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

Listing valid certificates not rooted to the Microsoft Certificate Trust List:

No certificates found.

 

Que faire si des certificats ssl douteux sont détectés ?

Tout d’abord pas de panique, enfin pas immédiatement, ces certificats que j’appelle douteux ne sont pas forcément tous dangereux et peuvent même se révéler dans certains cas utiles.

Par exemple si vous utilisez ESET SmartSecurity, sigcheck devrait vous prévenir sur la présence du certificat suivant

   ESET SSL Filter CA
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    ESET SSL Filter CA
        Serial Number:  15 9E B0 12 5C 6C B4 A2 45 7F 3F 13 58 22 16 81
        Thumbprint:     68692014D0F89E8870A61761B3231896561C9EB0
        Algorithm:      sha256RSA
        Valid from:     04:34 13/11/2015
        Valid to:       04:34 13/11/2025

 

Ce n’est pas un bug, ce n’est pas un adaware c’est une feature (référence, référence). ESET fait du MITM via son filtrage du protocole SSL/TLS

Commencez donc par effectuer une recherche sur internet en vous concentrant sur le nom du certificat ainsi que celui de son émetteur.

Ainsi si ce certificat a été installé par un logiciel celui-ci pourrait le réinstaller immédiatement après que vous vous soyez débarrasser du certificat. Il faudra donc dans un premier temps supprimer le programme coupable.

 

Suppression manuelle des certificats

Si vous le souhaitez, il est possible de supprimer manuellement ces certificats. Dans le menu démarrer cliquez sur Exécuter ou utilisez le raccourci Touche Windows + R et lancez certmgr.msc

certificats ssl douteux

 

Les certificats que vous cherchez se trouvent dans le magasin « Autorités de certification racines de confiance ». Pour les supprimer, rien de plus facile, il vous suffit de faire un clic-droit sur le certificat concerné et de cliquer sur Supprimer

Cependant faites très attention à ce que vous supprimez !

 

Sources