Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

La saga DigiNotar continue ...

91 réponses
Avatar
Xavier Roche
Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.

Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.

Et combien d'autres autorités de certification sont aussi peu fiables ..

10 réponses

1 2 3 4 5
Avatar
Aéris
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 06/09/2011 16:46, Xavier Roche a écrit :
Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.

Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.

Et combien d'autres autorités de certification sont aussi peu fiables ..



Il ne faut plus faire confiance aux CA, qui non seulement se font un
fric monstrueux vu le tarif d'un certificat, mais qui en plus au final
ne valent pas grand chose au vu de l'actualité (3ème ou 4ème CA
compromises à ce jour il me semble).

Et puis est-ce que la notion de CA a encore son sens de départ, quand on
voit que la plupart des navigateurs possèdent entre 300 et 600 root CA
en natif ?

Surtout que le grand public n'est ABSOLUMENT pas au courant de leur
existence ni de leur (non-)utilité et se limite à vérifier « qu'il y a
le petit cadenas », ce qui est bien sûr totalement inutile (OK, c'est
chiffré, mais pour qui ?)

Virez les root CA de vos navigateurs, informez vos visiteurs d'en faire
de même et expliquez-leurs la situation, montez vos propres CA et
diffusez VOS certificats à VOS visiteurs, etc.
En plus de cela, vous économiserez des milliers d'euro pour quelque
chose d'au final sûrement plus fiable (plus facile de vérifier son «
web-of-trust » avec une dizaine de certificats dont on connaît
directement les auteurs qu'avec des centaines de CA d'origine totalement
inconnue !) que la situation d'aujourd'hui.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOZkH2AAoJEK8zQvxDY4P99JEH/igbBzG9oX6WR5hdECT8ASHG
M1jnBK9tDaxQ9CILTprle5s4QladlHuf8QN6TutRSNkNbWA2vPCWq01Fu0b23cvI
LQ/0o32nLdRRbZHmQWRPBKkNKebqezQzlKljgjx6UFqEhOzEJXpWpjIdKv6Yo3uj
ylhXhwYo3uPigAJvi0U+hQq+avJz1f7ISgbhP5zkujh7Wg1KmLm39Q0AWtt8TOUU
neknTrh8UVOX8+IR9uRPbHmd/0doFXh7AN6aNWglI0efH9iBb4ZN4SpFkYfgkie0
GSRCgvYmGKQ3tN/UNfOeHGa6M89UHhAY2GlXtVBrtsdjtDOt79F9TMrEuVI0AjU =FRG+
-----END PGP SIGNATURE-----
Avatar
Kevin Denis
Le 06-09-2011, Xavier Roche a écrit :
Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.

Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.

Et combien d'autres autorités de certification sont aussi peu fiables ..



Au moins quatre de plus, si on estime que le message pastebin vient bien
du pirate:
http://pastebin.com/1AxH30em
--
Kevin
Avatar
Xavier Roche
Le 06/09/2011 17:56, Kevin Denis a écrit :
Au moins quatre de plus, si on estime que le message pastebin vient bien
du pirate:
http://pastebin.com/1AxH30em



Si cela permet de faire une grosse purge dans ce panier de crabes que
sont les autorités de certification, ainsi soit-il.

Ah, j'oubliais la meilleure: les boites en question sont auditées par
des "experts" en sécurité pour pouvoir faire partie du gotha des
entreprises de confiance. Ce qui donne un éclairage édifiant sur le
niveau de compétence de ces fameux experts ..
Avatar
xavier
Xavier Roche wrote:

Ce qui donne un éclairage édifiant sur le niveau de compétence de ces
fameux experts ..



Dans ce genre de cas, c'est moins la compétence que l'épaisseur du
carnet d'adresses qui compte. nmdpcjls.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Avatar
Bruno Tréguier
Le 06/09/2011 à 17:56, Kevin Denis a écrit :
Le 06-09-2011, Xavier Roche a écrit :
Et combien d'autres autorités de certification sont aussi peu fiables ..



Au moins quatre de plus, si on estime que le message pastebin vient bien
du pirate:
http://pastebin.com/1AxH30em



En tout cas, le type qui se cache derrière "ComodoHacker" a un sacré
ego, si on en juge par tous ses messages sur pastebin:

http://pastebin.com/u/ComodoHacker

--
Bruno Tréguier
Avatar
Aéris
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 07/09/2011 00:01, Bruno Tréguier a écrit :

En tout cas, le type qui se cache derrière "ComodoHacker" a un sacré
ego, si on en juge par tous ses messages sur pastebin:

http://pastebin.com/u/ComodoHacker



Oui, il faut sûrement faire un peu (beaucoup ?) de tri dans ses propos.
Mais en attendant, il aurait au moins déjà piraté 6 root CA… Alors un
égo démesuré certes, mais si c'est avéré, je pense qu'on pourra au moins
lui reconnaître ça…

Par contre, à la lecture de ses posts (et si tout s'avère exact, mais
les preuves vont quand même dans son sens pour le moment), comment
diable des CA ont-elles pu devenir des root CA avec en vrac :
— des machines sous Windows
— des serveurs web IIS
— des machines avec du RDP actif (même si filtré par les firewall après,
mais cela n'a apparemment pas été efficace…)
— des comptes administrateurs autorisés à se connecter à distance
— des comptes administrateurs autorisés à se connecter en RDP
— des mots de passes adminitrateurs aussi simple que ça
— …
Et tout ça sur des machines apparemment en DMZ !!!

Je ne sais pas, mais pour moi, c'est même pas digne de l'infrastructure
réseau d'une Madame Michu bas-de-gamme…
Tout le b.a-ba de la sécurité informatique, enseigné dès la 1ère année
de toute école sérieuse, est balayé d'un revers de la main…
Comment diable de telles machines ont-elles pu devenir le cœur de toute
la sécurité d'Internet, de tous nos comptes bancaires et de toutes nos
transactions commerciales sur la toile ?

Qui est chargé d'auditer ces sociétes et leurs infrastructures ?
Qui est responsable de la désignation de ces root CA ?
Qui est responsable de l'intégration de ces CA dans nos navigateurs ?

Ces récents piratages soulèvent énormément de questions, dont certaines
pourraient bien remettre en question tout le fonctionnement actuel des
certificats SSL et des CA…

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOZqaCAAoJEK8zQvxDY4P9HKwH/2qRUJT6X1O9c3sN9FSWMCj5
K1tdhayG4R8G01Om5y4XIwx9US9MjTp/s9O5Cm7Y/rwJbQdos+pmq9/v3/Ez0dA8
QqePHBTGyWxu5qRN5AotYoK62zb6CiYZKPT00BLa/Th0sT39oQvOCy3VYxJEE15w
1I87gr+JIE7Hov3GiXVS05rn3Kj+DWbcJiNJJUQwvNksle2jrbd+liQ7hNWkpfPM
TOYDZeMKqzdXv2ODusDSwHppf50eBfhAF8YfwjKrmCXMlIHQ4BHE6jgmmFbcKVEU
7x8mY0toYIVrgtmKJe1gY0lY0R8K4nj92lJrmlH9t1AqhE4CzTS00otQPnLuLZw =plYS
-----END PGP SIGNATURE-----
Avatar
Az Sam
"Aéris" a écrit dans le message de
news:4e66a689$0$7282$

— …
Et tout ça sur des machines apparemment en DMZ !!!



genre, les DMZ ca facilite le boulot des admins 'Mc Affee" qui jouent à
l'helicopter dans les couloirs...


Ces récents piratages soulèvent énormément de questions, dont certaines
pourraient bien remettre en question tout le fonctionnement actuel des
certificats SSL et des CA…




de l'internet dans son ensemble !!
J'en profite pour le répéter une fois de plus ici : IL FAUT VERROUILLER .


--
Cordialement,
Az Sam.
Avatar
Jo Kerr
Az Sam avait soumis l'idée :

J'en profite pour le répéter une fois de plus ici : IL FAUT VERROUILLER .



Non, il faut *éduquer*.

--
In gold we trust (c)
Avatar
Aéris
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 07/09/2011 11:29, Jo Kerr a écrit :
Non, il faut *éduquer*.



Je pense que tu vas au-devant de beaucoup de problèmes si tu vas de ce côté.
Quand tu vois déjà le nombre de Madame Michu qui veut « juste un PC
qu'on branche ça marche » (mais qui finissent dans le 1er botnet qui passe)…
Éduquer, dans le monde de l'informatique, c'est peine perdue, la plupart
des utilisateurs du réseau n'en ont non seulement strictement rien à
foutre mais en plus n'ont bien souvent pas les compétences
intellectuelles à comprendre ce que tu vas leurs expliquer.

La preuve, je pense que 90% des utilisateurs d'Internet ne connaissent
pas le fonctionnement de SSL et encore moins l'existence des Root CA…

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOZ06hAAoJEK8zQvxDY4P9jxYH/jEysjZF7JHYFy1lK6nJuybF
uaQ7fiLtdbhjyK5MO4a4epw55Ol3WryF+i+CxkctHBmCc1uAr+R8UDBNwHnoXQhr
9AqcbGpWAFwDNDH2aDN3yUABGsvL0c3ZqJVRv9nfOCxgJBJEG6mRa/IJc1DAUVHl
VI6iFrKMxKRoezKEnrjVU2i9/rjYJUgGNU9QxYfTqQEaMLuZyBIHT7+ri89DcOj0
hjqkUV+wnYOuhz2tjRxj0tY8RPJK4anWZGjXjHHofo3qulfYwGeVRIeoZGHZge2E
BHPj5qd+Pns1Hl+9uv0JM8JvyPS6iHmd9TmhPZ2jZ1cu5WcUBvtrtWP+gJhJ99U =Yy6P
-----END PGP SIGNATURE-----
Avatar
luser
Aéris avait énoncé :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 07/09/2011 00:01, Bruno Tréguier a écrit :

En tout cas, le type qui se cache derrière "ComodoHacker" a un sacré
ego, si on en juge par tous ses messages sur pastebin:

http://pastebin.com/u/ComodoHacker



Oui, il faut sûrement faire un peu (beaucoup ?) de tri dans ses propos.
Mais en attendant, il aurait au moins déjà piraté 6 root CA… Alors un
égo démesuré certes, mais si c'est avéré, je pense qu'on pourra au moins
lui reconnaître ça…



[snip]

Et surtout, les machines contenant les certificats racines
n'auraient-elle pas du etre completement deconnectées de tout réseaux?

++
1 2 3 4 5