Is your data being intercepted?

Introduction and summary

The interception detector is an online, complex but easy-to-use javascript/crypto tool available inside your browser without any installation. It allows you to check whether the information sent over your secure connections (https - TLS/SSL) is being intercepted. You can access the tool here: Interception Detector

This tool is complementary to Peersm and iAnonym projects.

As you probably know, the principle behind secure connections is that you receive a certificate from the site you are visiting. This certificate contains a public key that is used by your browser to encrypt a secret key. The secret key is then decrypted by the server using its private key and only the server's private key can decrypt the secret key. Only the browser and the server have access to the secret key and they use it to encrypt communications between each other.

The certificate also contains a signature produced by a certificate authorithy. The browser checks that the certificate is valid by checking the certificate's signature with the public key of the certificate authority. To keep things simple, let's assume that certificate authority means a certificate authority or a sub certificate authority.

Finally, the browser, in theory, checks that the server name in the certificate is indeed the one that you are accessing.

All this is based on a chain of trust in which you are supposed to trust the certificate authorities. Unfortunately it's not unlikely that authorities ask certificate authorities to produce valid certificates so that they can intercept your communications. This is more commonly known as a "Man in the middle attack". The interceptor intercepts your secure connection handshake and sets up two secure connections: one with your browser and one with the target site. Because the interceptor is using a valid certificate, your browser doesn't detect it and the interceptor receives all your messages decrypted.

Who is intercepting my data?

It's probably your ISP, your company, nodes in the path controled by certain authorities, proxies that you are wrongly using to hide yourself, nodes that proxy the traffic of major sites, etc.

Principles of the detector

It's simple. To check that nobody is intercepting your data, you intercept it yourself (i.e. your browser intercepts itself).

The browser sets up a https connection with itself (see the drawing Interception detector). It first creates a connection with our server using standard Websockets and then opens the page https://test.my_bank.com. This is intercepted by our server and then sent back to your browser using the websocket connection.

For each connection the browser creates a unique certificate that you are aware of. This certificate is not valid since it is self-signed and not produced by a certificate authority. Therefore, when you open https://test.my_bank.com, the browser will display a warning. You then use the warning information to check that the certificate used for the connection is indeed the one created inside your browser.

In such a scenario, if the certificates match, you are absolutely sure that your information has not been intercepted. If they don't match or you don't get a warning, then you are absolutely sure that your information has been intercepted.

Is it risky or illegal?

Absolutely not. Once you have given your authorisation, our server just intercepts the messages from your browser and sends them back to it as it would for any web site. It doesn't keep a record of these messages. However, you should never disclose the secret code that we provide for you to use the tool.

Extension

You can use test urls such as secret.my_bank.com or secret.download_stuff.com to check that there is nobody between you and our server and nobody paying particular attention to specific urls like download_stuff.com. As an extension for sensitive sites, the detector could be installed directly on the sites (my_bank.com) so you can check that there is nobody between you and my_bank.com simply by clicking somewhere on the site. Sites that are interested in providing this feature can contact us at the email address provided below.

How can I use it?

You first need to purchase your secret code (using paypal or whatever other means you like). Our contact address is contact (at) ianonym.com. We will then send you your secret code. The only information we need is an email address.

By buying your code you will be helping to finance projects such as iAnonym and node-Tor and helping protect freedom and privacy on the internet.

The tool is available here: Interception Detector

More technical details?

For more technical details, please visit: iAnonym | node-Tor

Etes-vous intercepté ?

Campagne de financement participatif !

Nous venons de lancer une campagne de financement participatif sur Kickstarter pour tenter de lever des fonds : iAnonym crowdfunding campaign

Si vous n'êtes pas intéressé pour contribuer, vous pouvez quand même aller sur le lien ci-dessus pour voir la présentation que nous avons tenté de simplifier afin qu'elle soit compréhensible pour tous, et ensuite revenir ici si vous voulez plus de détails.

Introduction et résumé :

Le détecteur d'interception est un outil crypto/javascript complexe en ligne facile à utiliser directement disponible dans votre navigateur sans avoir à réaliser aucune installation qui vous permet de vérifier que personne n'intercepte vos communications sécurisées (https - SSL/TLS). Vous pouvez y accéder ici : Interception Detector

Il s'agit d'une extension/complément du projet universel d'anonymisation sur internet iAnonym.

A titre de rappel (simplifié) le principe des connexions sécurisées https est d'obtenir un certificat du site que vous visitez. Ce certificat contient une clé publique qui sera utilisée par le navigateur pour chiffrer une clé secrète qui sera déchiffrée par le serveur en utilisant sa clé privée qui est la seule à pouvoir la déchiffrer. Ainsi la clé secrète ne sera connue que du navigateur et du serveur, elle sera utilisée pour chiffrer les communications entre les deux.

Le certificat contient aussi une signature produite par l'autorité (CA) qui l'a généré, signature qui sera vérifiée par le navigateur en utilisant la clé publique connue du CA (afin de simplifier, par CA ci-dessous nous entendons autorité pouvant générer des certificats ou sous-autorité habilitée à faire de même par délégation).

Le browser vérifie aussi en théorie que le nom de domaine indiqué dans le certificat est bien celui auquel vous tentez d'accéder.

Tout ceci est basé sur une chaîne de confiance impliquant que vous faites confiance aux CAs. Malheureusement il n'est pas improbable qu'une telle autorité puisse être sollicitée par une autre autorité afin de produire des certificats valides à des fins d'interception. Dans ce cas l'intercepteur intercepte votre tentative de connexion https et la substitue en établissant deux connexions sécurisées, une avec votre navigateur et une autre avec le site cible, son certificat étant valide votre navigateur ne le détecte pas et l'intercepteur peut voir passer tous vos messages en clair.

Qui donc m'intercepte ?

Peut-être HADOPI, votre fournisseur d'accès bien aimé, votre société, des noeuds dans le réseau contrôlés par certaines autorités, des proxys que vous utilisez à tort en pensant vous protéger, des noeuds dans le réseau qui proxient le trafic des sites majeurs, etc

Les principes du détecteur :

C'est simple : dans le but d'identifier s'il y a quelqu'un qui vous intercepte, vous vous interceptez vous-même (ie votre navigateur s'intercepte lui-même).

Votre navigateur établit une connexion https avec lui-même, voir le schéma Interception detector, il crée en premier lieu une connexion avec notre serveur en utilisant les Websockets standard, puis ouvre une page https://test.ma_banque.com qui est interceptée par notre serveur qui renvoie les messages au navigateur via la connexion websocket.

Pour chaque connexion le navigateur crée un certificat spécifique que vous connaissez, ce certificat n'est pas valide car non issu par un CA. Donc quand vous ouvrez https://test.ma_banque.com le navigateur affiche un avertissement dont vous utilisez les informations pour vérifier que le certificat utilisé est bien celui qui a été créé par le navigateur.

Ainsi, si vous obtenez un avertissement et que les certifcats correspondent vous êtes absolument sûr de ne pas être intercepté, sinon vous êtes sûr du contraire.

Est ce que c'est risqué ou illégal ?

Pas du tout, après l'y avoir autorisé notre serveur intercepte juste les messages de votre navigateur et les renvoie au navigateur, comme un site web standard, il ne garde aucune trace des messages transmis. Par contre il ne faut jamais révéler le code secret que nous vous avons fourni pour utiliser l'outil.

Extension :

Vous pouvez utiliser des adresses de test telles que secret.ma_banque.com ou secret.telechargement_douteux.com pour vérifier qu'il n'y a personne entre vous et notre serveur ou que personne ne s'intéresse à des adresses particulières (HADOPI ?). Mais le détecteur pourrait être facilement installé sur les sites cibles (ma_banque.com) ainsi serait il possible de vérifier qu'il n'y a personne entre vous et le site cible en cliquant simplement quelque part. Les sites qui seraient intéressés pour fournir cette fonctionnalité peuvent nous contacter à l'adresse ci-dessous.

Comment l'utiliser ?

Vous devez acheter votre code secret (par paypal ou autre), nous sommes joignables à contact (at) ianonym.com, nous n'avons pas besoin d'autre information qu'une adresse email.

En achetant le code secret vous contribuez à financer des projets tels que iAnonym ou node-Tor et donc contribuez à la protection de la liberté et de la vie privée sur internet.

Le détecteur est disponible ici : Interception Detector

Plus de détails techniques ?

Ici : iAnonym | node-Tor