La saga DigiNotar continue ...

On Sat, 08 Oct 2011 16:30:19 +0200, Gloops
<gloops@invalid.zailes.org>:

La sécurité est certainement importante pour Visa

Pas forcément. Il faut relativiser :
Si quelqu'un me pique mon numéro de CB, il ne peut rien faire d'autre
que donner un ordre de transfert d'argent, ordre que je m'empresserai
d'annuler.
Si quelqu'un me pique le mot de passe (ou la clé SSH) de mon site web
professionnel, il me le remplacer par un malware quelconque, et me
causer bien plus d'ennuis.

Gloops n'était pas loin de dire :

Le principe des certificats racine, c'est que du moment qu'on voit
apparaître le logo de sa banque c'est bien qu'on a tapé l'URL de la
banque sans se tromper ?

Oui et non.
Le plus important à comprendre, il me semble, c'est qu'un certificat
ne certifie en rien l'identité de la personne/société qui est derrière
le site, mais l'identité du site lui-même. Un certificat ne permet pas
de savoir que l'on est sur le site de MaBanqueAMoi, juste que l'adresse
du site est http://MaBanqueAMoi.fr/[quelque chose ou pas].
Le rôle des racines est alors de controler l'ensemble des
informations. Entre autre en vérifiant que Monsieur Truand, résidant
d'ArnaqueLand ne va pas demander un certificat pour
MaBanqueAMoiLaVraie.fr et que s'il le fait c'est vraiment réellement
absolument et totalement au nom de MaBanqueAMoi.
Dès lors que les racines ne font plus leur travail avec sérieux, des
certificats sont confiés au premier venu et n'ont au final plus aucune
valeur. Pour autant, la jolie barre verte continue à s'afficher, disant
à Madame Michue que le certificat correspond à l'adresse du site, ce
qu'elle interprete à tort comme signifiant que le site est bien celui
de sa banque.

Et ... on n'est pas obligé de comprendre en détail comment ça marche,
pour pouvoir quand même faire des transactions sûres, enfin ... on
pouvait.

Comprendre comme cela fonctionne, non. Par contre, comprendre ce que
cela signifie réellement est important. Or justement la plus part des
gens se méprennent sur cette signification.

--
17/06/1969 - 18/01/2011

Repose en paix mon amour :'(

Stéphane Catteau a écrit, le 09/10/2011 13:13 :

Et ... on n'est pas obligé de comprendre en détail comment ça ma rche,
> pour pouvoir quand même faire des transactions sûres, enfin ... on
> pouvait.

Comprendre comme cela fonctionne, non. Par contre, comprendre ce que
cela signifie réellement est important. Or justement la plus part des
gens se méprennent sur cette signification.

Oui, ça aurait dû marcher, mais à condition qu'on puisse faire conf iance
à quelqu'un. Bien entendu, quand c'est les policiers qui se mettent à
être véreux, ça devient sensiblement plus coton. Alors pareil avec les
autorités de certification (on avait déjà vu des choses regrettable s
avec celles concernées par le trafic maritime).

Bon alors il est plus que jamais nécessaire de comprendre les tenants e t
aboutissants, qu'on dit. Sauf qu'on avait déjà du mal avant, alors
apparemment il y a un gros boulot de vulgarisation à faire.

Si le fond suscitait déjà des échanges parfois un peu vifs, j'appré hende
le moment où vont se poser en plus des problèmes pédagogiques par
là-dessus ...

Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :

Gloops wrote:

Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :

Fabien LE LEZ wrote:

Honnêtement, j'ai abandonné tout espoir. Entre les autorités f oireuses
et les certificats auto-signés, je préfère considérer que HT TP et
HTTPS sont équivalents.

Heu, les certificats auto-signés, c'est très bien. Au moins, tu s ais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu
vas, mais ce n'est pas fait pour ça.

Sans certificat du tout, on sait aussi ce qu'on fait, non ?

Oui.

C'est les autres, qui ne le savent pas.

C'est aussi toi qui ne sais pas ce que les autres font de ton certifica t.

Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat
comporte une clef privée et une clef publique. Et qu'il ne faut pas
laisser traîner la clef privée n'importe où.

Fabien LE LEZ a écrit, le 09/10/2011 01:28 :

On Sat, 08 Oct 2011 16:30:19 +0200, Gloops
<gloops@invalid.zailes.org>:

La sécurité est certainement importante pour Visa

Pas forcément. Il faut relativiser :
Si quelqu'un me pique mon numéro de CB, il ne peut rien faire d'autre
que donner un ordre de transfert d'argent, ordre que je m'empresserai
d'annuler.
Si quelqu'un me pique le mot de passe (ou la clé SSH) de mon site web
professionnel, il me le remplacer par un malware quelconque, et me
causer bien plus d'ennuis.

Oui, enfin après, si on part du principe que c'est moins cher pour Visa
de prendre la sécurité à la légère, ça ouvre des perspectives ...

Gloops <gloops@invalid.zailes.org> wrote:

Alors pareil avec les
autorités de certification (on avait déjà vu des choses regrettables
avec celles concernées par le trafic maritime).

Sans vouloir jouer mon Mélanchoniste de base, on a pu constater depuis une
30aine d'années que quand des missions d'une telle importance cruciale
sont confiées au privé, ça devient rapidement bordélique, voire corrompu.

Je crois qu'en droit constitutionnel français, ça s'appelle des missons
régaliennes, qui ont donc vocaation à être confiées à des organismes
publics.

D'aillleurs, en France, l'AFNIC, bien que de droit privé (association) est
une délégation de service public, et en tant que telle, soigneusement
contrôlée.

Je ne dis pas que ça ne peut pas être le bordel, ni la corruption dans le
public, mais les moyens de lutter contre existent et sont efficaces, alors
que pour des entreprises multinationales, je ricane jaune.

On mentionnera pour mémoire le transfert des responsabilités de l'IANA
vers l'ICANN (bien que surveillée de près par l'état de Californie).

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)

Gloops wrote:

Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :

Gloops wrote:

Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :

Fabien LE LEZ wrote:

Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.

Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site
tu vas, mais ce n'est pas fait pour ça.

Sans certificat du tout, on sait aussi ce qu'on fait, non ?

Oui.

C'est les autres, qui ne le savent pas.

C'est aussi toi qui ne sais pas ce que les autres font de ton certificat.

Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat
comporte une clef privée et une clef publique. Et qu'il ne faut pas
laisser traîner la clef privée n'importe où.

Je le fait autrement.

Quand je génère ma clé privée, je sais ce que j'en fais.
Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il en
fait.

On Sun, 09 Oct 2011 18:20:15 +0200, Gloops
<gloops@invalid.zailes.org>:

Oui, enfin après, si on part du principe que c'est moins cher pour Visa
de prendre la sécurité à la légère, ça ouvre des perspectives ...

L'important pour Visa, c'est de générer autant de transactions que
possible.
Visa doit donner l'illusion de la sécurité pour que les gens utilisent
leur CB en confiance.
Même si https est pourri jusqu'à la moelle, ce système permet tout de
même de générer beaucoup de transactions. Et si, de temps en temps,
une transaction est frauduleuse, ben on l'annule après coup, et le
tour est joué.


Prenons un autre exemple : imagine que tu as un serveur quelconque
(serveur web ou autre). Tu fais de ton mieux pour paufiner sa
sécurité. Mais à l'impossible nul n'est tenu : un attaquant
suffisamment motivé pourra toujours y accéder. Tu dois donc te
préparer à cette éventualité, et avoir une solution de secours.

Gloops n'était pas loin de dire :

Oui, ça aurait dû marcher, mais à condition qu'on puisse faire confiance
à quelqu'un. Bien entendu, quand c'est les policiers qui se mettent à
être véreux, ça devient sensiblement plus coton. Alors pareil avec les
autorités de certification (on avait déjà vu des choses regrettables
avec celles concernées par le trafic maritime).

Je ne suis pas du tout d'accord. Il y a un problème qui gangrène le
réseau, mais il n'est pas du à des organismes/sociétés corrompues.
Lorsque Verisign, racine pour les DNS, avait décidé de redirigé tous
les domaines non existant vers un site qui leur appartenait, c'était un
problème majeur, mais Verisign n'était pas véreux pour autant. Même
chose aujourd'hui avec DigiNotar. Ils n'ont pas décidé de fermer les
yeux, ils ont simplement voulu réduire les coups et faciliter les
choses pour leurs clients, sans penser un seul instant aux conséquences
que cela pourrait avoir.
En fait, cela rend le problème beaucoup plus grave qu'une banale
corruption, parce que ça même madame Michu est en mesure de le
comprendre. Par contre, comprendre pourquoi simplifier la vie des gens
peut être une erreur et peut augmenter considérablement les risques
pour elle, c'est autre chose. Parfois même les experts en sécurité ont
du mal à voir le problème avant qu'il ne se produise, alors les
utilisateurs lambda...

Bon alors il est plus que jamais nécessaire de comprendre les tenants et
aboutissants, qu'on dit. Sauf qu'on avait déjà du mal avant, alors
apparemment il y a un gros boulot de vulgarisation à faire.

Ce boulot a toujours été à faire. Il y a dix ans ont en parlait déjà
ici, regrettant déjà un retard flagrant entre la réalité des risques du
réseau et l'information de ses utilisateurs. Aujourd'hui ce retard n'a
fait que prendre dix ans de plus. Dix années pendant lesquelles les
utilisateurs se sont fait de plus en plus nombreux et de moins en moins
connaisseurs, alors que dans le même temps les avancées technologiques
ne faisaient que multiplier les risques et les mélanger entre eux.

Si le fond suscitait déjà des échanges parfois un peu vifs, j'appréhende
le moment où vont se poser en plus des problèmes pédagogiques par
là-dessus ...

Tu n'as pas de soucis à te faire. Non seulement ces problèmes ont
toujours existés, mais en plus ils existeront toujours car jamais
personne ne s'y attaquera. Il est beaucoup trop tard maintenant, sauf
énorme clash du réseau, il continuera à fonctionner comme maintenant.
Une poignée de personne dénoncera les problèmes, les
organismes/sociétés autoritatives chercheront plus ou moins à les
régler, et pendant ce temps là l'utilisateur lambda n'aura conscience
de rien.
De toute façon c'est ce que demande l'utilisateur lambda, qu'on lui
foute la paix avec les détails et qu'on le laisse continuer à croire
qu'Internet est aussi simple et à la portée du premier venu que l'était
pong. On en arrive à un point tel qu'il existe réellement des gens qui
utilisent la barre de recherche de leur navigateur pour trouver l'URL
de google... qui leur est alors donnée par Google, moteur de recherche
par défaut de la dite barre de recherche. Je ne vois pas comment l'on
pourrait arriver à ne serait-ce qu'intéresser ces personnes à la
réalité des URL, alors les interesser aux problèmes de sécurité...

--
17/06/1969 - 18/01/2011

Repose en paix mon amour :'(

Fabien LE LEZ n'était pas loin de dire :

Même si https est pourri jusqu'à la moelle, ce système permet tout de
même de générer beaucoup de transactions. Et si, de temps en temps,
une transaction est frauduleuse, ben on l'annule après coup, et le
tour est joué.

Il n'y a qu'à voir le flop relatif des numéros de carte générés à la
volée pour les transactions en ligne et autres services similaires.
L'important ce n'est pas la sécurité du système, mais sa simplicité
pour l'utilisateur. Après, s'il faut rembourser une transaction de
temps en temps, qu'importe ? La perte est incluse d'entrée dans le coût
du service et personne ne s'en plains puisque cela représente un
surcoût infime ; le service reste sur à 99%.
A contrario, un payement sur à 99,99% engendrerait un surcoût d'autant
plus important qu'il entrainerait une baisse significative du nombre de
transaction.

Prenons un autre exemple : imagine que tu as un serveur quelconque
(serveur web ou autre). Tu fais de ton mieux pour paufiner sa
sécurité. Mais à l'impossible nul n'est tenu : un attaquant
suffisamment motivé pourra toujours y accéder. Tu dois donc te
préparer à cette éventualité, et avoir une solution de secours.

Cela d'autant plus que tu ne dois pas oublier qu'il existe des
utilisateurs.
Prenons l'exemple d'un formulaire. Le seul moyen de le sécuriser à
100% c'est de ne permettre que des champs à valeur fixes (et de les
vérifier au niveau du script évidement), ce qui rend le formulaire soit
lourd à cause du nombre hallucinant de choix, soit inutile parce qu'au
contraire il n'y a pas assez de choix.
Ou alors tu laisses l'utilisateur remplir les champs comme il le
désire, t'efforce de blinder les vérifications, tout en sachant que tu
dois être laxiste pour limiter les faux positifs, et tu croises les
doigts pour que ça suffise.

--
17/06/1969 - 18/01/2011

Repose en paix mon amour :'(