Verisign, Inc.

Le
jcchr
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais sur des sites confidentiels (banque, paiements,) une zone bleue apparaît à gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message "vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GuiGui
Le #21409431
jcchr a écrit :
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude




C'est venu par une mise à jour de ton navigateur. Ça peut se supprimer
en réinstallant une vieille version du navigateur.
Bruno Tréguier
Le #21409511
Le 20/03/2010 à 14:35, jcchr a écrit :
Bonjour,
Depuis quelques temps, sans que je n'ai rien demandé de tel, lorsque je vais
sur des sites confidentiels (banque, paiements,...) une zone bleue apparaît à
gauche de ma barre d'adresses. En y promenant la souris, je peux lire le message
"vérifié par : VeriSign, Inc.
Quelqu'un pourrait-il me dire comment cela a pu venir sur mon pc, et comment
faire pour s'en débarrasser.
Merci d'avance.
Jean-Claude



Bonjour,

Cette zone bleue, ou cette barre verte, ou autre (selon les navigateurs)
est là pour vous rassurer, normalement. ;-) Elle est le signe que le
certificat SSL qui protège le site auquel vous vous connectez est de
type "EV" (Extended Validation).

Officiellement:

Les certificats EV certifient que l'identité du site et de ses
dirigeants a fait l'objet de vérifications particulièrement
draconiennes, c'est donc normalement un gage de sérieux. Cela donnant
(toujours officiellement) beaucoup plus de travail à l'autorité de
certification qui le délivre, il est logique que ce type de certificat
soit beaucoup plus cher (facteur 3 environ) qu'un certificat
"classique". Les navigateurs, en présence de ce type de certificat, sont
aussi censés n'utiliser que des chiffrements dits "forts". Une tentative
de négociation d'une longueur de clef insuffisante (genre 40 ou 56 bits)
ne devrait donc pas aboutir.

En cas de sinistre (compromission de l'AC ou autre), le dédommagement
lié à un certif EV est bien entendu beaucoup plus important, mais ce
n'est pas vraiment ça qui compte au niveau de la décision de se tourner
vers ce type de produit.


Officieusement:

Il s'agit essentiellement, tel que je le vois, d'un argument marketing:
Mme Michu voit une belle barre verte, elle est rassurée (vert ou bleu =
gentil, orange ou rouge = méchant ;-) ), et elle achète sa nouvelle
batterie de cuisine avec un crédit sur 15 ans sur le site de Confogéant,
alors que sur le site de Ikéarrefour, ils avaient pas la barre verte,
ces ringards...

Du coup, pour commercialiser quelque chose sur Internet, désormais, ce
petit détail devient quasiment une obligation de fait.

Je suis un peu caricatural dans mes propos, là, mais je ne suis pas loin
de le penser. J'ai vu ce qu'était une vérif de certificat SSL classique,
et une vérif SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai
peut-être pas tout vu). J'ai même eu moins de problèmes avec l'EV cette
fois-ci que pour un classique il y a quelques années, notre organisme
étant en "liste rouge" dans les bases SIRENE...

Quant à l'enlever, cette barre, ou cette zone, je ne suis pas sûr que ce
soit possible: c'est pour votre bien, alors... ;-)

Cordialement,

Bruno
Stephane Catteau
Le #21410911
Bruno Tréguier n'était pas loin de dire :

Il s'agit essentiellement, tel que je le vois, d'un argument marketing:



Mais pas dans le sens que l'on pourrait envisager au premier abord.

Des études récentes ont montrées que le certificat EV permet d'augmenter
les ventes en ligne (jusqu'à +16%) et de diminuer le taux d'abandon de
commande (jusqu'à -30%).

Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>

Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.


Je suis un peu caricatural dans mes propos, là, mais je ne suis pas loin
de le penser.



Je ne te trouve pas caricatural du tout. C'est comme si l'on baissait
la vitesse limite sur les routes ; les gens bien, ceux qui ont 0,001% de
risques de causer un accident suivraient et les autres, ceux qui causent
99% des accidents continueraient à n'en faire qu'à leur tête. Le SSL EV
c'est un peu la même chose.

Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.
SSL EV est en fait la réponse à l'effet de bord des certificats SSL.
Comme les navigateurs vous avertissent lorsqu'un certificat n'est pas
valide, ceux-ci permettent aussi de dire "je suis bien qui je prétends
être". Pour autant, un certificat SSL n'apporte aucune sécurité de ce
niveau là, car il ne peut être utilisé pour dire "je ne suis pas qui je
prétends être". Un site de phissing n'utilisera pas le certificat du site
contrefait, la victime n'a donc rien pour l'avertir de la fraude.
C'est là qu'intervient la couleur verte/bleue liée à SSL EV. Sa présence
dit, "je suis qui je prétends être" et son absence dit, "je ne suis
peut-être pas qui je prétends être, y a-t-il du vert d'habitude ?".
Evidement l'absence de couleur reste ambigue et donc, comme pour la
limitation de vitesse, ceux qui faisaient attention verront le problème,
mais l'auraient vue à l'adresse abhérante du site, alors que les autres
continueront à se faire avoir.
A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.



[1]
Evidement un certificat gratuit vaudrait exactement la même chose en
matière de sécurité, mais apparament les décideurs sont persuadées que
plus tu l'a payé cher, plus la sécurité apporté par le certificat est
bonne.
Bruno Tréguier
Le #21411681
Rebonsoir Stéphane

Le 20/03/2010 à 19:24, Stephane Catteau a écrit :
Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>



Mouarf. Je ne vois pas bien pourquoi un certif classique protègerait
moins qu'un EV contre le spoofing DNS ! Ils prennent vraiment les gens
pour des c*ns...


Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.



Oui, en fait je pense qu'il y a les deux. La société que l'on convainc
qu'il le faut sinon ils perdront des ventes, et parallèlement notre
copine Mme Michu qui sera toute contente quand elle verra la barre
verte. On va bientôt voir fleurir des sites de phishing avec une barre
verte en en-tête. Peu importe qu'elle ne soit pas dans la barre
d'adresse, Mme Michu n'y verra que du feu comme d'habitude.


Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.



La par contre j'ai un avis un peu différent: SSL sert permet aussi
d'authentifier l'origine des données et d'assurer leur intégrité durant
le transport. C'est d'ailleurs pour cela que le SHOM en a acquis un
initialement.


[couic l'explication, tout à fait convaincante]
Evidement l'absence de couleur reste ambigue et donc, comme pour la
limitation de vitesse, ceux qui faisaient attention verront le problème,
mais l'auraient vue à l'adresse abhérante du site, alors que les autres
continueront à se faire avoir.



Absolument. Eventuellement "on" aidera un peu, comme je le disais plus
haut, en mettant un peu de vert dans la page elle-même, et hop.


A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.



Il n'y a en effet aucune raison que cela n'arrive pas un jour. C'est
déjà le cas pour le spam: naïvement, lorsque j'ai mis en place DKIM sur
le mail chez nous, je me suis dit que ça allait aider un peu à
discriminer les spams des messages légitimes, eh ben non. Beaucoup de
spams arrivent signés car ils sont envoyés depuis des comptes légitimes
chez Yahoo ou autres.


Evidement un certificat gratuit vaudrait exactement la même chose en
matière de sécurité, mais apparament les décideurs sont persuadées que
plus tu l'a payé cher, plus la sécurité apporté par le certificat est
bonne.



Ben quoi, c'est pas vrai ? :-)

Cordialement,

Bruno
Stephane Catteau
Le #21415721
Bruno Tréguier devait dire quelque chose comme ceci :

Rempart technique contre le phishing, le pharming et le spoofing DNS,
il permet aussi de montrer à vos clients que vous prenez leur sécurité
au sérieux.
</>



Mouarf. Je ne vois pas bien pourquoi un certif classique protègerait
moins qu'un EV contre le spoofing DNS ! Ils prennent vraiment les gens
pour des c*ns...



La réponse du service marketing est assurément quelque chose comme :
Cela protège plus parce que le navigateur affiche un joli carré d'une
couleur rassurante (vert ou bleu suivant les cas). De cette façon
l'utilisateur sait qu'il est bien sur votre site.

Evidement c'est de la connerie, mais je suis prêt à parier gros que
c'est l'argument qu'ils employeraient.


Ce n'est pas l'utilisateur qui est visé par cet évolution, mais la
société qui payera Verisign[1] pour avoir son certificat SSL EV et ne
plus perdre de clients. Et puis le jour où tout le monde sera en SSL EV,
il y aura le SSL XEV évidement.



Oui, en fait je pense qu'il y a les deux. La société que l'on convainc
qu'il le faut sinon ils perdront des ventes, et parallèlement notre
copine Mme Michu qui sera toute contente quand elle verra la barre
verte. On va bientôt voir fleurir des sites de phishing avec une barre
verte en en-tête. Peu importe qu'elle ne soit pas dans la barre
d'adresse, Mme Michu n'y verra que du feu comme d'habitude.



Pourquoi ne serait-elle pas dans la barre d'adresse ? Favicon existe
depuis des années et ferait idéalement l'affaire. L'indicateur de
sécurité ne serait pas placé exactement au même endroit, mais la
similitude serait telle que même des personnes vigilantes se feraient
avoir. Si en prime on fait de l'url rewriting au niveau du site, on
peut faire pointer favicon vers un script qui sélectionnera la bonne
couleur en fonction du navigateur.


Bien que dans l'esprit du grand public un certificat SSL soit un gage de
sérieux, a la base SSL n'a qu'une raison d'être, assurer la confidentialité
d'un flux. De là vient le cadenas à côté de l'adresse du site, il est là
pour dire à l'utilisateur "naviguez en confiance, vous êtes protégé". A
ce propos, la période de validité d'un certificat n'a qu'une justification
commerciale, un certificat qui n'a pas été renouvellé assure aussi bien
qu'un autre la confidentialité du flux.



La par contre j'ai un avis un peu différent: SSL sert permet aussi
d'authentifier l'origine des données et d'assurer leur intégrité durant
le transport. C'est d'ailleurs pour cela que le SHOM en a acquis un
initialement.



Lorsque le site à des données à proposer oui, mais là encore l'inverse
n'est pas vrai.
Prenons un site de téléchargement de logiciel par exemple. Soucieux de
leurs utilisateurs, tout le site est en HTTPS et tous les programmes
sont stockés sur leurs propres machines. La sécurité est maximum, on
sait que le logiciel téléchargé ne contient ni virus ni trojan et leur
intégrité est garantie.
Puis un jour le site se fait corrompre et tous les liens pointent vers
un script qui renvoie le même trojan à chaque fois, adaptant juste son
nom et sa taille en fonction du fichier désiré. Comme le script se
trouve sur un site hors de portée du certificat, seuls les personnes
n'ayant pas désactiver l'option "m'avertir lorsque l'on quitte une zone
HTTPS" verront la différence et seront protégés.


A noter que dans l'absolue rien n'empèche le site de phissing d'utiliser
son propre certificat et de baiser tout le monde en beauté. Ca n'a pas
encore été fait, mais lorsque SSL EV sera bien répandu ça risque
d'arriver.



Il n'y a en effet aucune raison que cela n'arrive pas un jour. C'est
déjà le cas pour le spam: naïvement, lorsque j'ai mis en place DKIM sur
le mail chez nous, je me suis dit que ça allait aider un peu à
discriminer les spams des messages légitimes, eh ben non. Beaucoup de
spams arrivent signés car ils sont envoyés depuis des comptes légitimes
chez Yahoo ou autres.



En fait ce qu'il faut garder à l'esprit c'est qu'en l'état actuel du
réseau et des protocoles qui le compose, aucune mesure de sécurité
globale ne sera jamais fiable à plus de 50%.
Il y a deux raison pour cela, tout d'abord l'ouverture des protocoles,
qui sont donc copiables/détournables par les méchants. Par exemple,
plus haut tu parlais de SSL en disant qu'il assurait l'intégrité des
données durant le transport, alors que ce n'est pas totalement exact.
Ce n'est pas trivial à faire, mais il suffit d'un proxy HTTPS un peu
bidouillé et placé en man in the middle pour que les données soient
corrompues à la volée.
Le second facteur de risque est le caractère commercial des sociétés
de certification. On l'a vu par exemple lorsque Verisign a essayé de
détourner les domaines inexistants pour les faire pointer vers leur
moteur de recherche. Tant qu'il y a de l'argent à se faire, ces
sociétés ne sont pas si regardante que cela.
Au final les différentes mesures prise globalement, DKIM, SSL EV et
compagnie, augmentent certes le niveau de sécurité, mais elles ne
peuvent en aucun cas remplacé les mesures de sécurité prise au niveau
local, c'est-à-dire sur la machine (ou le LAN) de l'utilisateur. A
terme, à force de se multiplier, les mesures globales limiteront le
filtrage effectué localement, mais elles ne feront que cela, les
limiter.
GuiGui
Le #21416241
Stephane Catteau a écrit :


Pourquoi ne serait-elle pas dans la barre d'adresse ? Favicon existe
depuis des années et ferait idéalement l'affaire. L'indicateur de
sécurité ne serait pas placé exactement au même endroit, mais la
similitude serait telle que même des personnes vigilantes se feraient
avoir. Si en prime on fait de l'url rewriting au niveau du site, on
peut faire pointer favicon vers un script qui sélectionnera la bonne
couleur en fonction du navigateur.




J'ai même vu une fois un phishing "de pro" : un petit gif se
superposait à la barre d'URL du navigateur pour simuler l'URL du vrai
site, tel qu'il aurait dû s'afficher (avec la barre de couleur à gauche).
Jean-Marc Desperrier
Le #21419361
Bruno Tréguier wrote:
J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).



Tu n'as pas tout vu. La concurrence entre les sites commercialisant les
certificats SSL a poussé vers le bas les règles de vérification, ce qui
fait que la seule chose dont tu sois vraiment certain avec un certificat
SSL classique est que l'AC a vérifié que le site contrôle le DNS auquel
tu te connecte (on appelle cela le DV SSL, Domain Validated SSL).

Dans le cas de l'EV, l'AC n'a pas le choix, les documents EV sont très
précis sur ce qui doit être vérifié, même si la liste correspond à ce
qui était vérifié pour un certificats SSL standard il y a quelques années.
Bruno Tréguier
Le #21419631
Bonjour Jean-Marc,

Le 22/03/2010 à 12:29, Jean-Marc Desperrier a écrit :
Bruno Tréguier wrote:
J'ai vu ce qu'était une vérif de certificat SSL classique, et une vérif
SSL EV, ça ne m'a pas semblé bien différent (mais je n'ai peut-être pas
tout vu).



Tu n'as pas tout vu. La concurrence entre les sites commercialisant les
certificats SSL a poussé vers le bas les règles de vérification, ce qui
fait que la seule chose dont tu sois vraiment certain avec un certificat
SSL classique est que l'AC a vérifié que le site contrôle le DNS auquel
tu te connecte (on appelle cela le DV SSL, Domain Validated SSL).

Dans le cas de l'EV, l'AC n'a pas le choix, les documents EV sont très
précis sur ce qui doit être vérifié, même si la liste correspond à ce
qui était vérifié pour un certificats SSL standard il y a quelques années.



Ok, c'est bien l'impression que j'avais, en fait (voir ma référence au
répertoire SIRENE). Comme notre dernier certificat datait d'il y a 3 ans
et que les vérifs qui avaient été faites à cette époque-là n'étaient pas
encore limitées à la simple possession du domaine, je trouvais assez
gonflé de voir, dans les versions récentes de navigateur, l'info: "ce
site n'a fourni aucune information d'identité" (ou quelque chose du
genre), ce qui pour nous ne reflétait pas la réalité.

On assiste donc à une surenchère purement commerciale, qui entraîne de
fait une "érosion" de la validité (auprès du public) des anciens
certificats... Rien d'inhabituel en somme. ;-)

Bonne journée.

Cordialement,

Bruno
Jean-Marc Desperrier
Le #21420901
Bruno Tréguier wrote:
naïvement, lorsque j'ai mis en place DKIM sur le mail chez nous, je me
suis dit que ça allait aider un peu à discriminer les spams des messages
légitimes, eh ben non. Beaucoup de spams arrivent signés car ils sont
envoyés depuis des comptes légitimes chez Yahoo ou autres.



L'attaquant s'en prend toujours au maillon le plus faible de la chaîne,
faire des promesses fabuleuses quand on n'améliore qu'un seul point de
celle-ci est vraiment une erreur majeure.

Il n'empèche que, pour arriver un jour à une vrai sécurité, il faut
renforcer un par un ces maillons, c'est le seul moyen d'en arriver un
jour au stade où les autres maillons faibles ayant été renforcé, on a
progresse vraiment en sécurité en fermant le dernier maillon.
Bruno Tréguier
Le #21420891
Jean-Marc Desperrier wrote:

L'attaquant s'en prend toujours au maillon le plus faible de la chaîne,
faire des promesses fabuleuses quand on n'améliore qu'un seul point de
celle-ci est vraiment une erreur majeure.



Nous sommes d'accord sur le principe. ;-) Cela dit, je n'ai pas saisi à
quoi vous faisiez allusion (si tant est que la remarque fasse référence
à quelque chose de particulier).


Il n'empèche que, pour arriver un jour à une vrai sécurité, il faut
renforcer un par un ces maillons, c'est le seul moyen d'en arriver un
jour au stade où les autres maillons faibles ayant été renforcé, on a
progresse vraiment en sécurité en fermant le dernier maillon.



On en est tous là, je crois. Sauf que même une fois le dernier maillon
refermé, un contrôle régulier de toute la chaîne s'impose, car les
pinces monseigneur utilisées en face sont de plus en plus grosses...

Cordialement,

Bruno
Publicité
Poster une réponse
Anonyme