Safari & Avast, coexistence impossible ?

A la lecture de nombreux forums on constate que le célèbre antivirus applique une politique de sécurité extrêmement restrictive vis à vis des certificats auto-signés.

Si l’utilisation de certificats auto-signés se justifie dans de nombreux cas, en revanche, mis entre de mauvaises mains cela peut se révéler une menace permettant de commettre toute une gamme de forfaits. C’est la raison pour laquelle Avast crie au loup lorsque votre page https fait appel à de tels certificats.
Mon propos ici n’est pas de défendre ou dénigrer les anti-virus, mais de vous aider à les exploiter.

Bien entendu les éditeurs de logiciels navigateurs (Safari, Firefox Chrome, Internet Explorer, etc.) on prévu cette éventualité et laissent à l’opérateur le soin de déclarer que le site et son certificat sont sains. Différents menus sont mis à disposition de l’opérateur pour cette décision; ils dépendent du logiciel utilisé.

Mais vous allez me dire que vient faire Avast dans cette histoire ? C’est que cet antivirus (comme pas mal d’autres) utilise un proxy SSL pour s’assurer que les certificats sont authentiques, puis filtrer les flux https.
Pour les novices voici un lien qui vous expliquera comment fonctionne un proxy SSL.

La déclaration d’un site https sain (safe) par l’opérateur a été prévue dans tous les navigateurs et documentée assez largement sur le Web.
La lecture de nombreux forums, regorgeant de manifestations de colère envers ce couple maudit, confirme que la chose n’est pas évidente sous macOS. Mais vous allez voir que la solution n’est heureusement pas très compliquée.

Le cas de Safari

Lorsque Safari affiche la page d’accueil d’un site utilisant un certificat auto-signé, le message suivant apparaît :

Si l’on estime malgré tout que ce site ne présente pas de risque on peut cliquer sur le bouton <Afficher les détails> et la fenêtre précédente s’enrichit des options <consulter le certificat> et <visiter ce site web>.

En cas de doute on peut afficher le certificat et, par une lecture attentive, vérifier les données qui y sont portées. Dans le cas contraire (aucun doute) on peut cliquer sur <visiter ce site web>.
S’ouvre alors une fenêtre vous demandant de vous authentifier pour enregistrer vos choix.
Dans la plupart des cas cela peut suffire et vous pouvez poursuivre votre navigation sur le site maintenant autorisé.

Mais il est des cas où cela ne suffit pas. Exemple : pour accéder à la page d’accueil de votre routeur, laquelle est bien évidemment configurée en https et, peut-être, utilisant un certificat auto-signé… Bien évidement le premier message se répète inlassablement malgré l’autorisation que vous venez d’enregistrer.

C’est alors que beaucoup se découragent bien qu’ils soient si prés de la fin. Un petit tour dans le trousseau d’accès (dans Applications/utilitaires) va vous permettre de conclure :

Dans la rubrique Trousseaux, sélectionnez le trousseau de session, et dans la rubrique Catégorie, sélectionnez la catégorie Certificats.

Recherchez le certificat du site souhaité, sélectionnez le et dans le menu contextuel (bouton gauche de la souris) cliquez sur <Lire les informations>. La fenêtre suivante apparaît:

On constate que :

  • le certificat est bien auto-signé, et donc qu’il n’a pas été vérifié par un tiers de confiance.
  • en déployant la rubrique <Se fier> toutes les conditions d’accès sont restées sur “réglages par défaut” et “aucune valeur spécifiée”.

Dans la même fenêtre, configurer l’option <(SSL) Secure Sockets Layer> sur “Toujours approuver“.
Vous pouvez également programmer les autres options selon les fonctions offertes par le site.

C’est fini. En quittant, le trousseau d’accès, MacOS vous demande de vous authentifier afin d’enregistrer les nouveaux paramètres.

Vous pouvez maintenant surfer sur le site choisi sans subir le rejet de votre requête.


Rédigé en : novembre 2019.
Version OS: macOS Mojave 10.14.6

error: Ce contenu est protégé !!