Voici une explication des principaux composants :

  1. SSL/TLS et Texte en Clair :

    • SSL/TLS (Secure Sockets Layer/Sécurité de la couche de transport) est utilisé pour chiffrer les données envoyées sur les réseaux, comme le trafic web (HTTPS). Normalement, vous ne pouvez pas voir le contenu chiffré (texte en clair) sans une clé appropriée ou un certificat d'autorité de certification (CA) qui déchiffre les données.

  2. eBPF (Filtre de Paquets Berkeley Étendu) :

    • eBPF est une technologie qui permet d'exécuter des programmes isolés dans le noyau Linux sans modifier le code source du noyau ni insérer de nouveaux modules. Il est couramment utilisé pour les tâches de traçage, de surveillance et de mise en réseau car il peut capturer et filtrer efficacement les paquets réseau.
    • Avec eBPF, vous pouvez écrire des programmes qui interceptent et inspectent le trafic réseau ou les événements système, par exemple lorsque le trafic SSL/TLS est déchiffré par des applications comme les navigateurs ou d'autres processus, même sans avoir besoin d'un certificat CA.

  3. Comment Ça Fonctionne :

    • Normalement, pour déchiffrer le trafic SSL/TLS, vous avez besoin d'un accès au certificat CA, émis par une autorité de confiance pour déchiffrer les communications sécurisées.
    • Avec eBPF, au lieu de compter sur les certificats CA, vous interceptez le trafic texte en clair déjà déchiffré directement dans la mémoire du serveur ou du client (par exemple, avant le chiffrement ou après le déchiffrement). Cela se produit car les applications qui utilisent SSL/TLS doivent déchiffrer les données à un moment donné pour pouvoir les utiliser, et eBPF peut accéder à cette étape.

  4. Support Linux/Android :

    • Cette technique est prise en charge sur les noyaux Linux/Android fonctionnant sur des architectures amd64 et arm64. Ces plateformes sont courantes pour les serveurs (amd64) et les appareils mobiles (Android arm64).
    • En utilisant eBPF, les développeurs et les chercheurs en sécurité peuvent surveiller le trafic sur ces systèmes sans avoir à manipuler directement le chiffrement SSL/TLS.

  5. Cas d'Utilisation et Risques :

    • Recherche de Sécurité et Débogage : Cette méthode peut être utilisée à des fins légitimes, telles que le débogage, la surveillance des performances ou la recherche en sécurité (par exemple, inspecter le trafic pour détecter des vulnérabilités).
    • Abus Potentiel : Cela peut également soulever des préoccupations, car des attaquants pourraient l'utiliser pour capturer des informations sensibles à partir du trafic réseau, contournant ainsi les protections de chiffrement traditionnelles.