Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

https pas sécurisé

4 réponses
Avatar
Gloops
Bonjour tout le monde,

L'op=E9rateur de t=E9l=E9phonie Mobiho utilise, pour ses paiements en lig=
ne,=20
une page en https, que Firefox rejette au motif que l'autorit=E9 de=20
certification est inconnue.

Il s'agit de NEOSURF CARDS SAS, dit autrement la soci=E9t=E9 m=E8re (je n=
'ai=20
pas v=E9rifi=E9, mais en tout cas une soci=E9t=E9 du m=EAme secteur =E0 q=
ui ils font=20
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.

Bon, mais alors maintenant, apr=E8s le d=E9faut de DigiNotar, cela vaut-i=
l=20
le coup de snober un auto-certificat, pour exiger l'intervention d'une=20
soci=E9t=E9 de certification qui aussi bien s'av=E8rera v=E9reuse le mois=
d'apr=E8s ?

Alors certes, Mobiho n'est pas tr=E8s clair non plus, en ce sens que le=20
jour o=F9 je leur ai pos=E9 la question (avec le courrier d'accompagnemen=
t=20
du ch=E8que, donc ils l'ont re=E7u sinon le t=E9l=E9phone se serait arr=EA=
t=E9), ils=20
ont fait la sourde oreille, m=EAme pas d'accus=E9 de r=E9ception.

Z'en pensez quoi ?

4 réponses

Avatar
Fabien LE LEZ
On Tue, 22 Nov 2011 18:19:49 +0100, Gloops
:

L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.



Vu le nombre d'autorités de certification que mon Firefox refuse, je
ne fais même plus attention.

Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois d'après ?



Ben voilà. D'autant qu'il y a une autre autorité de certification plus
que douteuse, dont les dirigeants sont soit des escrocs, soit des
incompétents : Verisign.
Avatar
Eric Razny
Bonjour.

Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :

L'opérateur de téléphonie Mobiho utilise, pour ses paiements en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.

Il s'agit de NEOSURF CARDS SAS, dit autrement la société mère (je n'ai
pas vérifié, mais en tout cas une société du même secteur à qui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.



Non, il y a toute une chaîne de certificats. C'est uniquement le fait que
le "certif racine" qui est lui auto-signé (c'est normal) -ou un des
certifs intermédiaire- ne fait pas partie du magasin de certifs de
confiance de firefox qui donne cette alerte.


Bon, mais alors maintenant, après le défaut de DigiNotar, cela vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera véreuse le mois
d'après ?



Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait
elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir
confiance. Et en sécurité la confiance transitive, bien, comment dire...

Pour l'auto de certif elle n'a pas besoin d'être véreuse, regarde le coup
de DigiCert Malaysia qui a émis des certifs intermédiaire avec des clefs
faibles... En plus ils semblent ne pas être fichu de les révoquer ;)
Les possesseurs d'iPhone & co sont aux anges.


Alors certes, Mobiho n'est pas très clair non plus, en ce sens que le
jour où je leur ai posé la question (avec le courrier d'accompagnement
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils
ont fait la sourde oreille, même pas d'accusé de réception.

Z'en pensez quoi ?



Que les certificats font de facto appel à un tiers de confiance, et que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.

On revient au problème des gros qui ont leurs certifs dans tous les
browsers et les autres, parfois très compétents et aussi sur que les
autres mais méconnus de certains navigateurs.

Pour être pragmatique, je pense que je suis content qu'en France les
banques soient contraintes de rembourser les CB quand il y a eu
escroquerie.
Encore qu'ici si le certif était refusé par tous les navigateurs (je ne
vérifie pas) la position deviendrait inconfortable pour le possesseur de
la CB.
Avatar
Gloops
Eric Razny a écrit, le 22/11/2011 22:16 :
Bonjour.

Le Tue, 22 Nov 2011 18:19:49 +0100, Gloops a écrit :

L'opérateur de téléphonie Mobiho utilise, pour ses paie ments en ligne,
une page en https, que Firefox rejette au motif que l'autorité de
certification est inconnue.

Il s'agit de NEOSURF CARDS SAS, dit autrement la société mà ¨re (je n'ai
pas vérifié, mais en tout cas une société du mê me secteur à qui ils font
confiance), donc pile poil ce que Mozilla appelle un auto-certificat.



Non, il y a toute une chaîne de certificats. C'est uniquement le f ait que
le "certif racine" qui est lui auto-signé (c'est normal) -ou un de s
certifs intermédiaire- ne fait pas partie du magasin de certifs de
confiance de firefox qui donne cette alerte.




Donc, en résumé, toute la question est bien de savoir si Neosur f est
davantage digne de confiance que Diginotar ?

Et après tout pourquoi pas. Je dois tout de même avouer que le fait que
Mobiho n'ait pas répondu un mot quand j'ai posé la question -de l'alerte
soulevée par Firefox- me donne un doute sur leur réactivité en cas
d'attaque.

Chez Diginotar c'était parce qu'ils se mettaient honteusement tous l es
sous dans la poche, du moins d'après ce qu'on en a dit ici. Chez Mob iho,
ça pourrait être à force de vouloir vendre un truc pas che r. ça, ils
l'ont fait, en tout cas si on veut un numéro juste pour être jo int, je
me demande si quelqu'un fait moins cher. Cela étant, je me demande s i il
y a une question judicieuse à poser, à laquelle l'absence de rà ©ponse
devrait réellement être inquiétante, si on considère que commercialement
parlant un commerçant peut se permettre de ne pas répondre à ses
clients, avec le sous-entendu "Peuh, si z'êtes pas contents z'avez q u'à
aller voir ailleurs".

Oops, en relisant, je prends conscience d'une faille, dans mon
raisonnement : c'est Neosurf, que je devrais contacter, plutôt que
Mobiho, vu que c'est à eux d'être réactifs en cas d'attaqu e. Que
serait-il judicieux que je leur demande ? Un certificat à ajouter à  
Firefox pour qu'il les reconnaisse ? Avec peut-être la somme MD5 pou r
pouvoir vérifier que j'ai bien réceptionné ce qu'il fallai t ?



Bon, mais alors maintenant, après le défaut de DigiNotar, ce la vaut-il
le coup de snober un auto-certificat, pour exiger l'intervention d'une
société de certification qui aussi bien s'avèrera vé reuse le mois
d'après ?



Le problème est surtout que Mme Michu ne se rend pas compte qu'en fait
elle fait confiance à "son firefox" pour lui dire en qui elle doit avoir
confiance. Et en sécurité la confiance transitive, bien, comm ent dire...

Pour l'auto de certif elle n'a pas besoin d'être véreuse, reg arde le coup
de DigiCert Malaysia qui a émis des certifs intermédiaire ave c des clefs
faibles... En plus ils semblent ne pas être fichu de les rév oquer ;)
Les possesseurs d'iPhone& co sont aux anges.


Alors certes, Mobiho n'est pas très clair non plus, en ce sens qu e le
jour où je leur ai posé la question (avec le courrier d'acco mpagnement
du chèque, donc ils l'ont reçu sinon le téléphone se serait arrêté), ils
ont fait la sourde oreille, même pas d'accusé de récept ion.

Z'en pensez quoi ?



Que les certificats font de facto appel à un tiers de confiance, e t que
pour cette usage il est impossible à Mme Michu d'être sure de quoi que ce
soit.



Donc, plantade complète si on considère que le but de la manÅ “uvre était
de sécuriser la connexion de Madame Michu ?



On revient au problème des gros qui ont leurs certifs dans tous le s
browsers et les autres, parfois très compétents et aussi sur que les
autres mais méconnus de certains navigateurs.




Oui. Si j'arrive au bout de la question pour les certificats Neosurf.


Pour être pragmatique, je pense que je suis content qu'en France l es
banques soient contraintes de rembourser les CB quand il y a eu
escroquerie.



C'est depuis, que je me suis mis à faire des courses sur Internet.
J'attends avec impatience qu'un dépanneur soit obligé de remett re son
devis par écrit, pour pouvoir m'acheter une machine à laver plu tôt
qu'aller à la laverie régulièrement. Oui, oui, je sais, c' est marginal
de pousser la cohérence jusque là.

Encore qu'ici si le certif était refusé par tous les navigate urs (je ne
vérifie pas) la position deviendrait inconfortable pour le possess eur de
la CB.




Probablement pour la banque aussi, j'imagine ?

C'est peut-être le fait que ça serait casse-pieds pour tout le monde,
qui a dissuadé de s'aventurer sur ce terrain :)
Avatar
Fabien LE LEZ
On Sat, 26 Nov 2011 12:19:27 +0100, Gloops
:

Donc, plantade complète si on considère que le but de la manœuvre était
de sécuriser la connexion de Madame Michu ?



Sécuriser la connexion n'a jamais été le but. Le but est que Mme Michu
se sente en sécurité, et utilise sa carte bleue sans peur.