https pas sécurisé
Le
Gloops
Bonjour tout le monde,
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en lig=
ne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.
Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n=
'ai
pas vérifié, mais en tout cas une société du même secteur à q=
ui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-i=
l
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois=
d'après ?
Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le
jour où je leur ai posé la question (avec le courrier d'accompagnemen=
t
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrê=
té), ils
ont fait la sourde oreille, même pas d'accusé de réception.
Z'en pensez quoi ?
L'opérateur de téléphonie Mobiho utilise, pour ses paiements en lig=
ne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.
Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n=
'ai
pas vérifié, mais en tout cas une société du même secteur à q=
ui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.
Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-i=
l
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois=
d'après ?
Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le
jour où je leur ai posé la question (avec le courrier d'accompagnemen=
t
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrê=
té), ils
ont fait la sourde oreille, même pas d'accusé de réception.
Z'en pensez quoi ?
Poser une question
Vu le nombre d'autorités de certification que mon Firefox refuse, je
ne fais même plus attention.
Ben voilà. D'autant qu'il y a une autre autorité de certification plus
que douteuse, dont les dirigeants sont soit des escrocs, soit des
incompétents : Verisign.
Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :
Non, il y a toute une chaîne de certificats. C'est uniquement le fait que
le "certif racine" qui est lui auto-signé (c'est normal) -ou un des
certifs intermédiaire- ne fait pas partie du magasin de certifs de
confiance de firefox qui donne cette alerte.
Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait
elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir
confiance. Et en sécurité la confiance transitive, bien, comment dire...
Pour l'auto de certif elle n'a pas besoin d'être véreuse, regarde le coup
de DigiCert Malaysia qui a émis des certifs intermédiaire avec des clefs
faibles... En plus ils semblent ne pas être fichu de les révoquer ;)
Les possesseurs d'iPhone & co sont aux anges.
Que les certificats font de facto appel à un tiers de confiance, et que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.
On revient au problème des gros qui ont leurs certifs dans tous les
browsers et les autres, parfois très compétents et aussi sur que les
autres mais méconnus de certains navigateurs.
Pour être pragmatique, je pense que je suis content qu'en France les
banques soient contraintes de rembourser les CB quand il y a eu
escroquerie.
Encore qu'ici si le certif était refusé par tous les navigateurs (je ne
vérifie pas) la position deviendrait inconfortable pour le possesseur de
la CB.
Donc, en résumé, toute la question est bien de savoir si Neosur f est
davantage digne de confiance que Diginotar ?
Et après tout pourquoi pas. Je dois tout de même avouer que le fait que
Mobiho n'ait pas répondu un mot quand j'ai posé la question -de l'alerte
soulevée par Firefox- me donne un doute sur leur réactivité en cas
d'attaque.
Chez Diginotar c'était parce qu'ils se mettaient honteusement tous l es
sous dans la poche, du moins d'après ce qu'on en a dit ici. Chez Mob iho,
ça pourrait être à force de vouloir vendre un truc pas che r. ça, ils
l'ont fait, en tout cas si on veut un numéro juste pour être jo int, je
me demande si quelqu'un fait moins cher. Cela étant, je me demande s i il
y a une question judicieuse à poser, à laquelle l'absence de rà ©ponse
devrait réellement être inquiétante, si on considère que commercialement
parlant un commerçant peut se permettre de ne pas répondre à ses
clients, avec le sous-entendu "Peuh, si z'êtes pas contents z'avez q u'Ã
aller voir ailleurs".
Oops, en relisant, je prends conscience d'une faille, dans mon
raisonnement : c'est Neosurf, que je devrais contacter, plutôt que
Mobiho, vu que c'est à eux d'être réactifs en cas d'attaqu e. Que
serait-il judicieux que je leur demande ? Un certificat à ajouter Ã
Firefox pour qu'il les reconnaisse ? Avec peut-être la somme MD5 pou r
pouvoir vérifier que j'ai bien réceptionné ce qu'il fallai t ?
Donc, plantade complète si on considère que le but de la manŠuvre était
de sécuriser la connexion de Madame Michu ?
Oui. Si j'arrive au bout de la question pour les certificats Neosurf.
C'est depuis, que je me suis mis à faire des courses sur Internet.
J'attends avec impatience qu'un dépanneur soit obligé de remett re son
devis par écrit, pour pouvoir m'acheter une machine à laver plu tôt
qu'aller à la laverie régulièrement. Oui, oui, je sais, c' est marginal
de pousser la cohérence jusque là .
Probablement pour la banque aussi, j'imagine ?
C'est peut-être le fait que ça serait casse-pieds pour tout le monde,
qui a dissuadé de s'aventurer sur ce terrain :)
Sécuriser la connexion n'a jamais été le but. Le but est que Mme Michu
se sente en sécurité, et utilise sa carte bleue sans peur.