https pas sécurisé

Le
Gloops
Bonjour tout le monde,

L'opérateur de téléphonie Mobiho utilise, pour ses paiements en lig=
ne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.

Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n=
'ai
pas vérifié, mais en tout cas une société du même secteur à q=
ui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.

Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-i=
l
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois=
d'après ?

Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le
jour où je leur ai posé la question (avec le courrier d'accompagnemen=
t
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrê=
té), ils
ont fait la sourde oreille, même pas d'accusé de réception.

Z'en pensez quoi ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #23993291
On Tue, 22 Nov 2011 18:19:49 +0100, Gloops

L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.



Vu le nombre d'autorités de certification que mon Firefox refuse, je
ne fais même plus attention.

Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois d'après ?



Ben voilà. D'autant qu'il y a une autre autorité de certification plus
que douteuse, dont les dirigeants sont soit des escrocs, soit des
incompétents : Verisign.
Eric Razny
Le #23993641
Bonjour.

Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :

L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.

Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n'ai
pas vérifié, mais en tout cas une société du même secteur à qui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.



Non, il y a toute une chaîne de certificats. C'est uniquement le fait que
le "certif racine" qui est lui auto-signé (c'est normal) -ou un des
certifs intermédiaire- ne fait pas partie du magasin de certifs de
confiance de firefox qui donne cette alerte.


Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois
d'après ?



Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait
elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir
confiance. Et en sécurité la confiance transitive, bien, comment dire...

Pour l'auto de certif elle n'a pas besoin d'être véreuse, regarde le coup
de DigiCert Malaysia qui a émis des certifs intermédiaire avec des clefs
faibles... En plus ils semblent ne pas être fichu de les révoquer ;)
Les possesseurs d'iPhone & co sont aux anges.


Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le
jour où je leur ai posé la question (avec le courrier d'accompagnement
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils
ont fait la sourde oreille, même pas d'accusé de réception.

Z'en pensez quoi ?



Que les certificats font de facto appel à un tiers de confiance, et que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.

On revient au problème des gros qui ont leurs certifs dans tous les
browsers et les autres, parfois très compétents et aussi sur que les
autres mais méconnus de certains navigateurs.

Pour être pragmatique, je pense que je suis content qu'en France les
banques soient contraintes de rembourser les CB quand il y a eu
escroquerie.
Encore qu'ici si le certif était refusé par tous les navigateurs (je ne
vérifie pas) la position deviendrait inconfortable pour le possesseur de
la CB.
Gloops
Le #24004751
Eric Razny a écrit, le 22/11/2011 22:16 :
Bonjour.

Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :

L'opérateur de téléphonie Mobiho utilise, pour ses paie ments en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.

Il s'agit de NEOSURF CARDS SAS, dit autrement la société mà ¨re (je n'ai
pas vérifié, mais en tout cas une société du mê me secteur à qui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.



Non, il y a toute une chaîne de certificats. C'est uniquement le f ait que
le "certif racine" qui est lui auto-signé (c'est normal) -ou un de s
certifs intermédiaire- ne fait pas partie du magasin de certifs de
confiance de firefox qui donne cette alerte.




Donc, en résumé, toute la question est bien de savoir si Neosur f est
davantage digne de confiance que Diginotar ?

Et après tout pourquoi pas. Je dois tout de même avouer que le fait que
Mobiho n'ait pas répondu un mot quand j'ai posé la question -de l'alerte
soulevée par Firefox- me donne un doute sur leur réactivité en cas
d'attaque.

Chez Diginotar c'était parce qu'ils se mettaient honteusement tous l es
sous dans la poche, du moins d'après ce qu'on en a dit ici. Chez Mob iho,
ça pourrait être à force de vouloir vendre un truc pas che r. ça, ils
l'ont fait, en tout cas si on veut un numéro juste pour être jo int, je
me demande si quelqu'un fait moins cher. Cela étant, je me demande s i il
y a une question judicieuse à poser, à laquelle l'absence de rà ©ponse
devrait réellement être inquiétante, si on considère que commercialement
parlant un commerçant peut se permettre de ne pas répondre à ses
clients, avec le sous-entendu "Peuh, si z'êtes pas contents z'avez q u'à
aller voir ailleurs".

Oops, en relisant, je prends conscience d'une faille, dans mon
raisonnement : c'est Neosurf, que je devrais contacter, plutôt que
Mobiho, vu que c'est à eux d'être réactifs en cas d'attaqu e. Que
serait-il judicieux que je leur demande ? Un certificat à ajouter à  
Firefox pour qu'il les reconnaisse ? Avec peut-être la somme MD5 pou r
pouvoir vérifier que j'ai bien réceptionné ce qu'il fallai t ?



Bon, mais alors maintenant, après le défaut de DigiNotar, ce la vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera vé reuse le mois
d'après ?



Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait
elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir
confiance. Et en sécurité la confiance transitive, bien, comm ent dire...

Pour l'auto de certif elle n'a pas besoin d'être véreuse, reg arde le coup
de DigiCert Malaysia qui a émis des certifs intermédiaire ave c des clefs
faibles... En plus ils semblent ne pas être fichu de les rév oquer ;)
Les possesseurs d'iPhone& co sont aux anges.


Alors certes, Mobiho n'est pas très clair non plus, en ce sens qu e le
jour où je leur ai posé la question (avec le courrier d'acco mpagnement
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils
ont fait la sourde oreille, même pas d'accusé de récept ion.

Z'en pensez quoi ?



Que les certificats font de facto appel à un tiers de confiance, e t que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.



Donc, plantade complète si on considère que le but de la manÅ “uvre était
de sécuriser la connexion de Madame Michu ?



On revient au problème des gros qui ont leurs certifs dans tous le s
browsers et les autres, parfois très compétents et aussi sur que les
autres mais méconnus de certains navigateurs.




Oui. Si j'arrive au bout de la question pour les certificats Neosurf.


Pour être pragmatique, je pense que je suis content qu'en France l es
banques soient contraintes de rembourser les CB quand il y a eu
escroquerie.



C'est depuis, que je me suis mis à faire des courses sur Internet.
J'attends avec impatience qu'un dépanneur soit obligé de remett re son
devis par écrit, pour pouvoir m'acheter une machine à laver plu tôt
qu'aller à la laverie régulièrement. Oui, oui, je sais, c' est marginal
de pousser la cohérence jusque là.

Encore qu'ici si le certif était refusé par tous les navigate urs (je ne
vérifie pas) la position deviendrait inconfortable pour le possess eur de
la CB.




Probablement pour la banque aussi, j'imagine ?

C'est peut-être le fait que ça serait casse-pieds pour tout le monde,
qui a dissuadé de s'aventurer sur ce terrain :)
Fabien LE LEZ
Le #24005731
On Sat, 26 Nov 2011 12:19:27 +0100, Gloops

Donc, plantade complète si on considère que le but de la manœuvre était
de sécuriser la connexion de Madame Michu ?



Sécuriser la connexion n'a jamais été le but. Le but est que Mme Michu
se sente en sécurité, et utilise sa carte bleue sans peur.
Publicité
Poster une réponse
Anonyme