Discussion :

[Idelways]

Affaire DigiNotar : Mozilla fait pression sur les autorités de certifications
Et exige l'audit complète de leur sécurité avant le 16 septembre


Toujours dans les répercussions de la récente intrusion dans les systèmes DigiNotar, la fondation Mozilla hausse le ton envers les autorités de certification après avoir été elle même victime de l'un des 500 certificats falsifiés par le hacker iranien ComodoHacker.

Dans une lettre ouverte urgente, Kathleen Wilson, responsable du module de certification de Firefox et Thunderbird, somme les autorités de certification d'auditer sérieusement en cinq volets dûment précisés, leurs systèmes de sécurité à la recherche de toute trace de compromission.

Sans s'étaler sur les répercussions en cas de manquement, Mozilla exige des 54 autorités qui participent à son programme root (certificat racine) un rapport par email avant le 16 septembre 2011, probablement sous peine de subir le même sort que le hollandais DigiNotar, radié des logiciels de la fondation jusqu'à nouvel ordre, pour manquement aux rudiments de la sécurité à cette échelle.

Les mesures que Mozilla attend incluent l'audit des Infrastructures à clés publiques (PKI), le passage au crible des systèmes de leurs ordinateurs et de ceux de leurs autorités de certification subsidiaires et autres autorités de régulation, à la poursuite de tout signe d'intrusion.

La fondation exige en outre la mise en place de sérieuses mesures de sécurité, comme un système de blocage automatique en cas d'intrusion et l'obligation de mettre en place une authentification multifacteur pour les comptes sensibles émetteurs de certificats.

À savoir que tous les certificats émis par une autorité révoquée du programme root de Mozilla, se verront rejetés sur Firefox et Thunderbird.



Source : lettre de Mozilla

Et vous ?

Que pensez-vous du message de la fondation Mozilla ?
Et des mesures de sécurité qu'elle exige ?

[Neko]

Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
Proposer son aide, donner des conseils oui, exiger non.

[transgohan]

Pourriez-vous avoir l’extrême amabilité, si vous possédez évidemment le temps d'accéder à notre requête, voire de nous lire, d'effectuer cet audit ?

[GCSX_]

Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...

[Michaël]

C'est surtout que tu fais pas un audit complet + rapport en moins d'une semaine sur des systèmes aussi complexes...

[Invité]

Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...

ils prenent un risque qui pour eux est justifier pourquoi sa ferait rire vu qu'il son conscients de ce qu'il fonts ?

[z3d.web]

Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

La communication avec votre banque est en cours de sécurisation....
Hmm.. Waiting... A hacker need your information ! Will you give him ?
No ?! Humm... absolute yes... I'm your Bank

[thorium90]

Complètement d'accord avec Mozilla, c'est tellement inadmissible de devoir douter de la viabilité de ce qui est censée être la source de notre confidentialité sur les aspects les plus délicats comme les transactions bancaires et autre.

Mais bon après http://www.developpez.com/actu/29815...a-technologie/ et cette nouvelle attaque, ca promet etre telement !!! WOUAAAAWE !!! la prochaine attaque de ce type

[Neko]

Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

La communication avec votre banque est en cours de sécurisation....
Hmm.. Waiting... A hacker need your information ! Will you give him ?
No ?! Humm... absolute yes... I'm your Bank

Qui crois qu'un système peut être complètement sécurisé ne connais rien à la sécurité.
Le mec qui a piraté DigiNotar a "contourné le module matériel de sécurité HSM sur le système d’exploitation OpenBSD ainsi que son gestionnaire de sécurité RSA et SafeSign Token pour accéder au système".
Tu crois qu'un audit a priori aurait détecté que ce genre d'intrusion était possible ?

[pilate]

Avec le hacker oui

[Flaburgan]

Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
Proposer son aide, donner des conseils oui, exiger non.

Pour qui se prennent-ils ?
Le client, la parole du net...

Il faut bien que quelqu'un s'inquiète de ça, c'est la base même de l'Internet... Ils ont le mérite de montrer que ça inquiète.