cfspro.impots.gouv.fr/LoginAccess

Hello,

je suis à la recherche d’un expert qui pourrait m’expliquer comment paramétrer COMODO FIREWALL pour pouvoir s’identifier sur le site suivant.

https://cfspro.impots.gouv.fr/LoginAccess

J’accède avec mon mot de passe.

Je ne suis pas un novice et j’ai déjà cherché des informations sur Internet.
Il y aurait un fonctionnement particulier du serveur qui nécessiterait une communication particulière sur le réseau !?

Le serveur répond:
Status : 403
Description : Accès Interdit

Je précise au cas où que ce n’est pas un problème de mot de passe.

J’ai aussi essayé toutes les possibilités de traçages et apprentissage.
J’ai même supprimé toutes les autres règles.

HELP !!!

Merci d’avance à tous ceux qui prendrons le temps de m’aider.

Yo

Bonsoir,
Le firewall désactivé, la connexion fonctionne ?
Est-ce que le certificat est Ok sur le PC ?
Dans quel mode se trouve le firewall ?

[attachment deleted by admin]

Bonjour Zorkas,

Merci pour ton intéret.

J’ai essayé toutes les configurations du Firewall.

• Mode Personalisé avec les Règles Globales standards et une seule règle type IP ALL - OUT -Bloqué avec log.
  Aucune Log se déclanche.

• Mode apprentissage. Même problème.

Et alors, la cerise sur … Le Firewall désactivé. Même problème !

Sinon, comme je l’ai indiqué, j’accède avec mon mot de passe. Donc le certificat n’est pas utilisé.

C’est infernal :o

Toutes nouvelles idées seront les bienvenues.

Merci d’avance.

Yo.

Bonsoir,
L’erreur 403:
Le serveur HTTP a compris la requête, mais refuse de la traiter.
Ce code est généralement utilisé lorsqu’un serveur ne souhaite pas indiquer pourquoi la requête a été rejetée, ou lorsque aucune autre réponse ne correspond (par exemple le serveur est un Intranet et seules les machines du réseau local sont autorisées à se connecter au serveur).
Donc beaucoup de possibilités

• Si le pass est accepté, la réponse du serveur peut-être une erreur de transcodage de la page https ou un mauvais décodage du certificat SSL ou …
• Si avec le firewall de Comodo désactivé le problème persiste, il faut vérifier les paramètres du navigateur avant tout.
• Purger l’historique du navigateur.
  -…

Bonjour Zorkas,

Tout comme l’erreur 403, le problème avec ce site est connu.
Et malheureusement cela ne vient pas de la configuration du navigateur et ne vient pas non plus de la configuration du PC.

La problème est lié à l’installation de n’importe quel Firewall.

Lors de mes recherches sur internet, j’avais trouvé une réponse qui s’appliquait à un système Unix et à un paramétrage en ligne de commande sur le Firewall.
Mais, comme cela ne s’appliquait pas à mon Système, ni à mon Firewall, Je n’avais pas retenu ni les paramètres (qui étaient un peu compliqués à comprendre), ni le site sur lequel ils étaient expliqués.

J’ai quelques connaissances en réseau et j’avais bien compris que la solution n’était pas une simple règle dans le Firewall.

Je ne voulais pas influencer la direction de la recherche de la solution pour éviter de se retrouver enfermé (comme je le suis surement 88)!
Mais vu le peut de personnes intéressées ( encore merci pour le tien Zorkas ) je vais essayer d’expliquer ce que j’ai cru comprendre.

Cela viendrait du protocole SSL que le navigateur veut utiliser pour communiquer avec le serveur.
Mais il semblerait que le serveur est besoin de changer de protocole de chiffrement et que la présence d’un Firewall lui empêche de le faire (même désactivé).

Il semblerait donc, que le moyen technique pour le faire, serait une “Backdoor” utilisant la communication SSL déjà établie, pour exécuter du code sur le poste client (dans notre cas, changer de codage). Par défaut, les systèmes Windows le permettrait mais lorsque l’on installe un Firewall, un paramétrage est changé dans Windows et ce n’est plus possible (même le Firewall désactivé).
Cette possibilité qui n’est pas bloqué par le paramétrage standard de Windows le deviendrait donc avec l’installation d’un Firewall.

Attention, ce qui est dit ci-dessus, n’est que le résultat de ma compréhension provenant d’une explication qui n’était pas directement lié à “cfspro.impots.gouv.fr”.

Sachant que mon but est d’utiliser ce site avec Comodo Firewall, si un paramétrage de Comodo est trouvé, cela me conviendra très bien.

Après pour ma culture personnelle, des explications techniques sur ce qui se passe avec ce site m’intéresse aussi.

Voila, j’espère avoir été un peu compréhensible et surtout j’espère qu’un expert qui je suis sûr connait le problème et la solution veuille bien me répondre.
S’il y a des problèmes de confidentialité nationale :-X, vous pouvez m’envoyer la solution par email.

Sinon Zorkas, si tu es toujours intéressé, c’est avec plaisir que je testerais toutes idées.
Je suis sure qu’avec le temps nous trouverons la solution.

Merci.

Yo

Bonjour,
Bon déjà pour commencer il faut donner + d’informations concernant le système d’exploitation + le navigateur utilisé + les réglages par défaut + les programmes lancé au démarrage + l’information routeur ou FAI + toutes autres informations utile…

• En second je te propose de désinstaller “proprement” Comodo puis de rebooter le PC et de te connecter au site pour vérifier (afin de confirmer que le problème viens de Comodo).
• En trois en fonction du résultat (si par exemple négatif), la proposition au reset du catalogue winsock via la commande nesth.
  Voilà pour continuer.
  Dans l’attente…

Bonjour,
Complément d’info:
Validation des certificats clients HTTPS:
Lors de l’utilisation du protocole HTTPS pour communiquer entre un client et un service, le certificat que le client utilise pour s’authentifier auprès du service doit prendre en charge l’approbation de chaîne. Autrement dit, il doit être chaîné à une autorité de certification racine approuvée. Dans le cas contraire, la couche HTTP lève une exception WebException avec le message “Le serveur distant a retourné une erreur : (403) Interdit”. WCF revêt cette exception en tant que MessageSecurityException.
Donc apparemment le problème est une codification ou décodage propre aux certificats HTTPS ou SSL.
Puisque tu possède des connaissances réseaux regarde ici:

A vérifier:

• si NET Framework est opérationnel avec la bonne version (mise à jour)
• si javascript est utilisé et quelle version supportée.

Erreur HTTP 403
403.1 Défendu - Accès d’exécution défendu
Cette erreur peut être engendrée si vous tentez d’exécuter une application IPC, ISAPI ou un autre programme exécutable à partir d’un répertoire qui n’autorise pas l’exécution de programmes.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.10 Accès défendu - Configuration erronée
Il y a actuellement un problème de configuration sur le serveur Web.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.11 Accès défendu - Modification de mot de passe
Cette erreur peut être générée si l’utilisateur a saisi le mauvais mot de passe lors de l’authentification. Actualisez la page et réessayez.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.12 Accès défendu - Accès refusé (Mapper)
L’accès à ce site Web a été refusé à votre certificat client.
Veuillez contacter l’administrateur du site pour établir des permissions de certificat client. Vous pouvez également changer votre certificat client et réessayer, le cas échéant.

Erreur HTTP 403
403.2 Défendu - Accès en lecture défendu
Cette erreur peut être générée si aucune page par défaut n’est disponible et que l’exploration de répertoire n’a pas été activée pour le répertoire, ou que vous essayez d’afficher une page HTML qui réside dans un répertoire uniquement affecté des permissions Exécuter ou Script.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.3 Défendu - Accès en écriture défendu
Cette erreur peut être générée si vous tentez de télécharger ou de modifier un fichier dans un répertoire qui ne permet pas un accès en écriture.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.4 Défendu - Protocole SSL requis
Cette erreur indique que la page à laquelle vous tentez d’accéder est sécurisée par le protocole SSL (Secure Sockets Layer). Afin de l’afficher, vous devez activer le protocole SSL en tapant « https:// » au début de l’adresse que vous essayez d’atteindre.Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.5 Défendu - Protocole SSL 128 requis
Ce message d’erreur indique que la ressource à laquelle vous essayez d’accéder est sécurisée avec une version 128 bits du protocole SSL (Secure Sockets Layer). Afin d’afficher cette ressource, vous devez disposer d’un navigateur qui prend en charge ce niveau du protocole SSL.
Veuillez vérifier que votre navigateur prend en charge la sécurité du protocole SSL 128 bits. Si c’est le cas, contactez l’administrateur du serveur Web pour lui signaler le problème.

Erreur HTTP 403
403.6 Défendu - Adresse IP rejetée
Cette erreur est générée lorsque le serveur dispose d’une liste d’adresses IP qui ne sont pas autorisées à accéder au site et que l’adresse IP que vous utilisez figure dans cette liste.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Erreur HTTP 403
403.7 Défendu - Certificat de client requis
Cette erreur est générée lorsque la ressource à laquelle vous tentez d’accéder nécessite que votre navigateur possède un certificat de client du protocole SSL (Secure Sockets Layer) reconnu par le serveur. Celui-ci est utilisé pour vous authentifier en tant qu’utilisateur valide de la ressource.
Veuillez contacter l’administrateur du serveur Web pour obtenir un certificat de client valide.

Erreur HTTP 403
403.8 Défendu - Accès au site refusé
Cette erreur peut être générée si le serveur Web ne gère pas les demandes ou si vous n’avez pas la permission de vous brancher au site.
Veuillez contacter l’administrateur du site Web.

Erreur HTTP 403
403.9 Accès défendu - Connexion d’un trop grand nombre d’utilisateurs
Cette erreur peut être générée si le serveur Web est occupé et ne peut traiter votre demande en raison d’un trafic important. Essayez de vous brancher de nouveau ultérieurement.
Veuillez contacter l’administrateur du serveur Web si le problème persiste.

Hello,

La seul certitude à ce problème, c’est qu’il est la conséquence de l’installation d’un Firewall ! ( je ne suis pas le seul )
Il n’y a que 2 solutions:

• Ne pas utiliser un autre Firewall que celui de Microsoft en configuration standard
• Trouver comment paramétrer son Firewall ( si c’est possible avec Comodo !? )

Pour ma part, j’utiliserai toujours un autre Firewall et en plus ultra restrictif ( c’est mon côté Parano ;).

Même si la solution a été trouvée sur un Systeme Unix avec un autre Firewall, je ne me suis pas encore résigné à passer sur un autre OS et j’aime bien Comodo.
Mais je reste confiant sur la possibilité de trouver la solution avec Comodo.
A condition de se concentrer sur lui (Comodo) !

Ceci dit, j’ai demandé de l’aide pour avoir un autre point de vu.
Donc, même si je suis fainéant :-[, je vais suivre ton raisonnement.
On arrivera bien à Comodo à un moment.

Concernant le contexte, j’ai un PC MS 8.1 avec Comodo qui ne fonctionne pas non plus mais inutile pour l’analyse car j’ai aussi un autre PC avec un dual boot de 2 MS Vista absolument identique sauf que sur un système il y a Comodo.

Donc, je pense que l’on peut éliminer toutes les causes extérieures à Comodo (système d’exploitation + le navigateur utilisé + les réglages par défaut + les programmes lancé au démarrage + l’information routeur ou FAI + toutes autres informations utile) car sur le Système sans Comodo cela fonctionne sans problème.

Je pense que tu seras aussi d’accord que l’on peut éliminer la composante logiciel (Net Framework est opérationnel avec la bonne version (mise à jour) et javascript est utilisé et quelle version supportée ) car les deux systèmes sont absolument identique.

Par contre, ton idée de vérifier le certificat m’a apporté une information supplémentaire.
J’ai fait une comparaison avec l’espace Particulier (https://cfspart.impots.gouv.fr) qui fonctionne bien avec Comodo.
J’ai découvert une différence de chiffrage. Sur le site Pro., on a un chiffrage (obsolète) à 128 bits alors que sur le site Part., on a 256 bits. C’est peut être un début de piste mais je ne trouve toujours pas le lien avec le Firewall.

J’essaye de retrouver l’info sur Unix pour tenter de faire un lien avec Comodo.
Mais, je ne le retrouve pas >:(

L’idéal serait qu’un utilisateur de Comodo et CFSPRO réponde.
Tu n’aurais pas des contacts chez Comodo ?

En tout cas, merci encore pour ton aide.
Je pense que l’on avance.

Yo.

[attachment deleted by admin]

Hi,
Teste le certificat ici:
https://www.digicert.com/help/
(en entrant l’URL + haut)
Retourne les infos de connexion.
Désactive SSL.3 dans les paramètres options avancés du navigateur (voir image)
https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm
Redémarre le PC et quel résultat ?

[attachment deleted by admin]

Hello Zorkas,

Cela ne sert à rien que je teste encore une fois le site des impôts.
Sauf s’il change la configuration, on obtiendra toujours les même résultats et tes informations sont générales alors que le navigateur indique celles utilisées.
J’en profite pour faire un résumé.

Protocol utilisé : TLS 1.0
Chiffré par : AES_256_CBC avec SHA1 et DHE_RSA

La connexion fonctionne avec COMODO instalé.

https://cfspro.impots.gouv.fr
Protocol utilisé : TLS 1.0
Chiffré par : AES_128_CBC avec SHA1 et DHE_RSA

La connexion ne fonctionne pas avec COMODO instalé.

Concernant le test sans SSL 3.0, il ne se passe rien puisque l’on utilise TLS 1.0 !
Pour info, le changement de ce paramètre est actif sans redémarrage.

Bon maintenant, on a toutes les informations sur l’environnement !
On est sur, que c’est l’installation de COMODO qui empêche la connexion.

Alors, s’il vous plait, peut on essayer maintenant de trouver comment paramétrer COMODO pour que cela fonctionne.

Merci d’avance.

Yo

Bonjour,
N’ayant pas l’utilisation du site mentionné donc de possibilité de déduction concernant le problème rencontré, juste une suggestion perso, l’établissement d’une règle spécifique à l’IP du site à telle été testée ? (voir images)
Sinon:
En dehors d’une réponse positive sur ce forum, contacter le support:

[attachment deleted by admin]

Hello,

Oui bien sûr, pour la règle.

Sinon, j’ai peur que le support se confronte au même problème.
En plus, j’utilise la version gratuite donc il faut pas rêver.

Ma seul chance est qu’il y ai un expert réseau qui accède au site et qu’il vienne sur ce forum pour donner la solution.
c’est un peu la chauve souris de Bigard :embarassed:

A voir !?

Merci d’avoir essayé.
Bonne fête de fin d’année.

Yo.