La saga DigiNotar continue ...

Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :

Fabien LE LEZ wrote:

Honnêtement, j'ai abandonné tout espoir. Entre les autorités foi reuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.

Heu, les certificats auto-signés, c'est très bien. Au moins, tu sai s ce que
tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site t u vas,
mais ce n'est pas fait pour ça.

Sans certificat du tout, on sait aussi ce qu'on fait, non ?

C'est les autres, qui ne le savent pas.

On Sat, 08 Oct 2011 04:18:03 +0200, Gloops
<gloops@invalid.zailes.org>:

C'est pas bête comme requête : si l'administrateur est capable de
répondre, ça veut dire qu'il faut fermer le site *de toute urgence*.

Il y a de fortes chances pour que l'admin indique des mots de passe
bidon. Ce n'est pas vraiement vérifiable de toute façon.

Xavier Roche a écrit, le 06/09/2011 16:46 :

Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveur s de
production les plus critiques, serveurs non patchés avec de multip les
vulnérabilités, etc.

Il serait intéressant de savoir comment un prestataire aussi incom pétent
techniquement a pu se glisser dans la liste des autorités de certi fication.

Et combien d'autres autorités de certification sont aussi peu fiab les ..

Salut tout le monde,

Après avoir lu ce fil, il y a une question que je me pose : y a-t-il
quelque part un site à conseiller à Madame Michu pour lui expli quer
comment importer un certificat de sécurité en étant sû r qu'il n'est pas
contrefait ?

En se rappelant que Madame Michu, elle peut comprendre, mais ... quand
on lui explique clairement.

D'ailleurs, en parlant de certificat de sécurité, Madame Michu est
susceptible de s'intéresser aux certificats attestant l'identité du
titulaire ? Pour le cryptage, c'est-à-dire les clefs permettant de
crypter un mail par exemple, on verra peut-être la semaine d'aprè s, ou
elle va choper une migraine.

Peut-être faut-il décliner la réponse en plusieurs cas de figure ?


Madame Michu est gardienne d'immeuble, donc pour identifier le syndic,
ça ne va pas être trop dur, un employé du syndic va dé barquer lui
installer ça, et elle verra le logo sur la barre de navigation, pas de
souci.

Après, il y a le site de sa banque. Son conseiller clientèle es t dévoué,
mais pour aller individuellement chez chaque client installer des
certificats de sécurité, il risque d'être débordé .

Peut-être aussi emplettes.com ?
Madame Michu aime bien faire une petite folie de temps à autre.


Ah le fisc ce n'est pas trop dur, Madame Michu a reçu deux documents du
percepteur, desquels elle doit reporter deux nombres, il n'y a guère
qu'en détournant le courrier qu'on pourrait se faire passer pour ell e.
Pas impossible, mais si on veut couvrir ce cas le débat risque de
devenir copieux.

Le 08/10/2011 12:32, Gloops a écrit :

Après avoir lu ce fil, il y a une question que je me pose : y a-t-il
quelque part un site à conseiller à Madame Michu pour lui expliquer
comment importer un certificat de sécurité en étant sûr qu'il n'est pas
contrefait ?

En théorie les racines sont là pour ça: elles permettent de ne pas se
poser de questions. L'import manuel d'un certificat est rarissime, et je
ne parle même pas de M/Me Michu.

Le vrai problème, c'est quand les racines sont pourries.

Xavier Roche a écrit, le 08/10/2011 12:37 :

Le 08/10/2011 12:32, Gloops a écrit :

Après avoir lu ce fil, il y a une question que je me pose : y a-t -ilOui
quelque part un site à conseiller à Madame Michu pour lui ex pliquer
comment importer un certificat de sécurité en étant sà »r qu'il n'est pas
contrefait ?

En théorie les racines sont là pour ça: elles permettent de ne pas se
poser de questions. L'import manuel d'un certificat est rarissime, et j e
ne parle même pas de M/Me Michu.

Le vrai problème, c'est quand les racines sont pourries.

Oui, effectivement. Comment fait-on pour faire tenir un platane quand
ses racines sont pourries ? On risque de ne pas avoir de réponse
convaincante. Même si en ce moment, les platanes, c'est plutôt au niveau
de l'écorce qu'ils ont un souci.

Par ailleurs, un site de commerce en ligne a mémorisé mon numà ©ro de
carte, puis-je me contenter de protester mollement ? Quels paramètre s
peuvent influer sur la réponse ?


Le principe des certificats racine, c'est que du moment qu'on voit
apparaître le logo de sa banque c'est bien qu'on a tapé l'URL d e la
banque sans se tromper ? Et ... on n'est pas obligé de comprendre en
détail comment ça marche, pour pouvoir quand même faire de s transactions
sûres, enfin ... on pouvait.

Le 08/10/2011 12:48, Gloops a écrit :

Par ailleurs, un site de commerce en ligne a mémorisé mon numéro de
carte, puis-je me contenter de protester mollement ? Quels paramètres
peuvent influer sur la réponse ?

Dans les débuts du commerce électronique, j'avais eu vent des pratiques
d'une boutique connue: lors de la réception des commandes, ces dernières
étaient faxées (avec le numéro de CB, nom du porteur etc) au siège de la
boutique physique, pour être traitées "normalement" (comme pour les
commandes papier ou téléphone). Les FAX étaient jetés à la poubelle
après opération. On espère que personne n'a eu l'idée de fouiller les
poubelles a l’extérieur.

Bon, j'imagine que ce genre de chose n'arrive plus ? (..)

Xavier Roche a écrit, le 08/10/2011 13:18 :

Le 08/10/2011 12:48, Gloops a écrit :

Par ailleurs, un site de commerce en ligne a mémorisé mon nu méro de
carte, puis-je me contenter de protester mollement ? Quels paramè tres
peuvent influer sur la réponse ?

Dans les débuts du commerce électronique, j'avais eu vent des pratiques
d'une boutique connue: lors de la réception des commandes, ces der nières
étaient faxées (avec le numéro de CB, nom du porteur etc ) au siège de la
boutique physique, pour être traitées "normalement" (comme po ur les
commandes papier ou téléphone). Les FAX étaient jeté s à la poubelle
après opération. On espère que personne n'a eu l'idé e de fouiller les
poubelles a l’extérieur.

Bon, j'imagine que ce genre de chose n'arrive plus ? (..)

Ce qui a été célèbre un temps c'était les factur ettes CB qui étaient
récupérées dans les poubelles.
Vu de loin il y a eu deux phases dans la réaction :
- sensibiliser les commerçants à détruire les documents co mpromettants
- plus de facturettes papier

Après ... on voit bien des gens avoir un homonyme dans leur cage
d'escalier, et ne toujours pas avoir communiqué leur numéro de boîte aux
lettres à leurs correspondants au bout de trois ans (moyennant quoi, on
fait suivre un certain temps, et après débrouille-toi poulette, tant pis
pour ton téléphone), donc détruire les facturettes, il ne faut pas trop
demander.

C'est vrai qu'aujourd'hui il faut avoir un sens de la tradition plutô t
développé pour (continuer à) plonger les mains dans les po ubelles pour
des facturettes alors que l'algorithme de génération des numà ©ros de
cartes bleues a été publié sur Internet. Ou alors peut-à ªtre la requête
pour le trouver n'est plus si évidente à écrire ?

Mais il est vrai qu'il y a le cas aussi où on cherche à nuire à  
quelqu'un en particulier, auquel cas l'algorithme de numéros alé atoires
de cartes bleues ne convient pas.

Pour un site web, j'imagine qu'il faut regarder ce qu'ils avancent comme
arguments sur la sécurité ?

Fabien LE LEZ a écrit, le 07/09/2011 16:47 :

J'ai lu (sur reddit je crois), il y a un ou deux mois, le message d'un
admin système qui demandait des conseils, car un "expert" chargé d' un
audit lui demandait la liste des mots de passe de tous ses
utilisateurs (en clair bien sûr), sur les six derniers mois.

Ah oui je suis allé voir la page indiquée par Kevin.

Quelqu'un là-dessus suggère d'aller voir Visa pour protester et obten ir
la révocation du phénomène (puisqu'apparemment celui-ci se réclam ait d'eux).

Il n'est pas absurde de penser que ne pas faire ça soit éliminatoire.
La sécurité est certainement importante pour Visa, et il est crédib le
qu'ils ne souhaitent pas s'exposer à avoir un client qui risque de
divulguer les mots de passe de ses utilisateurs.
Donc, envoyer un provocateur les réclamer est sûrement un bon moyen d 'en
avoir le cœur net, même si ça fait un peu bizarre comme procédé , c'est
le moins qu'on puisse dire.

En tout cas, si jamais Visa venait à faire des affaires avec quelqu'un
qui accéderait à une telle requête, ça serait bon à savoir, il y aurait
lieu de chacun résilier sa carte dans les plus brefs délais (et ...
trouver comment faire autrement).

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 08/10/2011 12:48, Gloops a écrit :

Oui, effectivement. Comment fait-on pour faire tenir un platane quand
ses racines sont pourries ? On risque de ne pas avoir de réponse
convaincante. Même si en ce moment, les platanes, c'est plutôt au niveau
de l'écorce qu'ils ont un souci.

Non, c'est bien la racine qui est moisie
Les CA en qui on est sensé faire confiance délivrent des certificats au
1er venu…
L'incompétence de Madame Michu n'est pas génante pour le système, au
mieux ça n'aura d'impact que sur sa propre sécurité, pas sur celle des
autres.

Le principe des certificats racine, c'est que du moment qu'on voit
apparaître le logo de sa banque c'est bien qu'on a tapé l'URL de la
banque sans se tromper ?

Non justement. C'est ce qui c'est passé avec Diginotar.

Le certificat présenté était considéré comme étant parfaitement valide
par les navigateurs. Ce sont les navigateurs qui prennent la décision de
la présence de la barre verte, du logo ou du cadenas, uniquement sur la
foi du certificat présenté et des CA intégrées au navigateur.
Et ceci n'est aucunement une obligation, lynx ou w3m n'ont par exemple
aucun moyen d'afficher ces informations.

Seulement, le certificat avait été délivré à une personne malfaisante
par Diginotar, qui a donc pu monter son propre serveur pour faire du «
man-in-the-middle » avec GMail. L'adresse tapée était correcte, le
serveur obtenu non, via un habile jeu de redirection registrar / dns.

Et ... on n'est pas obligé de comprendre en

détail comment ça marche, pour pouvoir quand même faire des transactions
sûres, enfin ... on pouvait.

Si justement.
SSL n'a d'intérêt que si on comprend PARFAITEMENT ses tenants et
aboutissants.
On doit être conscient :
— d'à qui on fait confiance (les CA intégrées au navigateur / à l'OS)
— quelle est l'identité du site visé par le certificat (ça c'est
généralement délégué au navigateur via un check de l'URL par rapport au
sujet du certificat)
— quel est le contenu du site visé par le certificat

Si on est pas conscient de l'intégralité de la chaîne, malgré une barre
verte, on peut être sur un site contrefait.

— Dans le cas Diginotar, parce que la CA avait signé un certificat au
petit bonheur la chance (URL correct mais serveur incorrect).

— On peut aussi imaginer une personne ayant un certificat tout à fait
valable délivré par une autorité sérieuse, mais utilisant le certificat
de manière illicite.
Par exemple la Société Générale qui a actuellement un certificat licite
pour son site web, pourrait le modifier totalement pour « phisher »
celui du Crédit Agricole et obtenir le code confidentiel de tous les
clients du Crédit Agricole qui se seraient fait avoir ! (URL et serveur
correct mais contenu illicite)

Dans tous les cas, seule une vérification MANUELLE de l'émetteur (CA),
du certificat (serveur) et du contenu permet de s'assurer de la
fiabilité du système.
Ce qui voudrait dire la fin des CA et un fonctionnement à la GPG
(confiance lors du 1er contact).

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOkIH2AAoJEK8zQvxDY4P9UREIAKuDP6WYmy7VCgABESx6H5XC
Wo8+CkaNW4N24dp2F6c34nn1m/bgOgJQpWVOrQs6CO/B52R2B310/rDKrSS5TRxM
kdQpoWAZk/khOldGVl9IacevNBGl3QT8nC7P1Ha7OCsgFp1tXt+o63iZiKVN+ES3
n+E2A61e/SOtdm87LzTA1mUF6ljdFCSz0aEH4pQI96jToVfFPaOlRQoP6HbWIc/T
EQ0ZH9SlsZPPelH+0QyLlBjzpkxR3BEe7mUQ7/vuUgWa6EqJfiTLvaKMpSCS9AQB
Md0NxX3qtiXLEyYfgUEohsSMxtSfOiTos4wCQ5PSzf3NGSBGozTq52kigcqtgrA =YDrR
-----END PGP SIGNATURE-----

Gloops wrote:

Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :

Fabien LE LEZ wrote:

Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.

Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu
vas, mais ce n'est pas fait pour ça.

Sans certificat du tout, on sait aussi ce qu'on fait, non ?

Oui.

C'est les autres, qui ne le savent pas.

C'est aussi toi qui ne sais pas ce que les autres font de ton certificat.