IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Plus de 14 000 certificats SSL contenant le mot « PayPal » délivrés par Let's Encrypt à des sites de phishing


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 383
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 383
    Points : 196 425
    Points
    196 425
    Par défaut Plus de 14 000 certificats SSL contenant le mot « PayPal » délivrés par Let's Encrypt à des sites de phishing
    Plus de 14 000 certificats SSL contenant le mot « PayPal » ont été délivrés par Let's Encrypt à des sites de phishing
    en l'espace d'un an

    En un an (de mars 2016 à février 2017), l’autorité de certification Let's Encrypt a émis un total de 15 270 certificats SSL contenant le mot « PayPal ». D'après une analyse réalisée par Vincent Lynch, expert en chiffrement travaillant pour le compte de SSL Store, environ 14 766 (96,7 %) ont été utilisés (ou sont utilisés) sur des domaines hébergeant des sites de phishing.

    Dans un billet de blog, il explique que « l'une des principales craintes exprimées par les critiques de Let's Encrypt, une peur qui a précédé le lancement de l'autorité de certification, était que le service deviendrait l'autorité de certification à la volée pour les campagnes de phishing parce que ses certificats SSL étaient gratuits. Let's Encrypt a également une position non conventionnelle sur le rôle de l'autorité de certification, arguant que ce n'était pas le travail de l'autorité de certification que d’empêcher les sites malveillants d'utiliser ses certificats. Cela signifiait que les responsables de campagnes de phishing ainsi que les distributeurs de logiciels malveillants étaient libres d'utiliser Let's Encrypt sans risque d'être bannis ou de voir leurs certificats révoqués ».

    Néanmoins, il a remarqué que « la position de Let's Encrypt est conforme aux normes de l'industrie », bien que « cette politique combinée à l'offre de certificats gratuits crée un environnement très attractif pour les opérations de phishing ».

    Les experts en chiffrement et en sécurité avaient déjà prévenu Let’s Encrypt qu’en fournissant des certificats SSL gratuits, les acteurs malveillants se battraient pour obtenir des certificats gratuits et déplacer leurs opérations sur des domaines en HTTPS. Le premier de ces incidents de sécurité a été une campagne de malvertising qui a utilisé les certificats de Let's Encrypt et a été découverte par Trend Micro en janvier 2016. Depuis lors, il y a eu des cas isolés ; aucun abus de masse n’a été signalé, bien que les chercheurs en sécurité ont commencé à repérer de plus en plus de certificats de Let's Encrypt sur des sites malveillants.

    « Pendant de nombreuses années, l'industrie de la sécurité dans son ensemble a incorrectement enseigné aux utilisateurs qu’associer HTTPS au cadenas vert est le signe d’un site "sûr". Il s'agit d'une mauvaise généralisation, ce qui peut amener les utilisateurs à croire qu'un site de phishing est réel s'il utilise un certificat SSL », a expliqué l’expert.

    « De plus, la nouvelle interface utilisateur de Chrome affiche "Sécurisé" à côté de chaque site disposant d’un certificat SSL valide et une configuration HTTPS. Quelle est la probabilité qu'un utilisateur interprète mal la signification de cela et voie un site d'hameçonnage comme étant légitime ? »

    Même si cela n’a été rendu obligatoire par aucune norme, Let's Encrypt a toujours publié des journaux de transparence des certificats. Au début du mois, Lynch a analysé ces journaux et découvert 988 certificats contenant le mot « PayPal » dans les informations de certificat, avec seulement quatre d'entre eux utilisés à des fins légitimes.

    Après avoir appris de son analyse précédente, Lynch a affiné ses méthodes et est arrivé à des statistiques encore plus effarantes. En utilisant les données (qui ne sont pas toutes accessibles au public) de la recherche de certificats de Comodo, le chercheur a été en mesure de suivre tous les certificats Let's Encrypt SSL émis pour divers domaines qui comprenaient également le terme « PayPal », cible commune de nombreux sites de phishing, aux côtés de Gmail, Google , Apple, eBay ou Amazon.


    Ses résultats révèlent comment les attaquants derrière les campagnes de phishing ont progressivement testé s'ils pouvaient obtenir, déployer et conserver les certificats Let's Encrypt pour des sites Web malveillants.

    Autour d'octobre et novembre de l'année dernière, le nombre de certificats SSL émis par Let's Encrypt pour PayPal a augmenté de façon exponentielle. « Il ne semble pas y avoir de cause spécifique de cette augmentation », a noté Lynch. « Il se peut simplement qu'il ait fallu un certain temps pour que la nouvelle se répande au sein des communautés de phishing et pour que l'expertise technique soit développée.»

    Alors que Let's Encrypt a publié certains certificats à des fins légitimes, dans la plupart des cas, en regardant le nom d'hôte, le but du site est assez clair et il n’est pas nécessaire d’être un expert en sécurité pour le comprendre.

    Bien que l'analyse de Lynch se concentre uniquement sur l'utilisation du mot PayPal dans les certificats gratuits de Let's Encrypt, il existe des milliers d'autres certificats semblables émis pour des termes comme « AppleID », « Gmail » et autres. Dans ces cas-là, le volume de certificats accordés n’est pas le même que celui des certificats PayPal étant donné que les activités consistant à obtenir un accès aux comptes PayPal sont très lucratives et impliquent un accès direct aux fonds.

    « En supposant que les tendances actuelles se poursuivent, Let's Encrypt émettra 20 000 certificats “PayPal” supplémentaires d'ici la fin de l'année », a expliqué Lynch.

    La bonne nouvelle est que ces sites de phishing ne restent pas longtemps en activité : selon un rapport de CYREN, leur durée de vie est d'environ deux jours en moyenne, période après laquelle ils sont marqués dans un Safe Browsing ou sont retirés par la société d’hébergement elle-même.

    Source : blog SSL Store, rapport de CYREN

    Voir aussi :

    Les certificats SSL/TSL de Let's Encrypt sont supportés par la majorité des navigateurs, l'autorité avance dans son projet de sécuriser le Web
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

    N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

    Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...

  3. #3
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    Août 2005
    Messages
    851
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2005
    Messages : 851
    Points : 1 717
    Points
    1 717
    Par défaut
    Mais ce n'est pas spécifique à Let's Encrypt, si ? Les autres autorités ne génèrent pas de certificat pour les termes Paypal, Apple, Gmail ? Ou bien ils ne sont pas aussi transparents que LE sur ces statistiques ?

  4. #4
    Membre confirmé Avatar de Andarus
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Novembre 2008
    Messages
    137
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2008
    Messages : 137
    Points : 455
    Points
    455
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

    N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

    Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
    Est ce vraiment à l'éditeur de certificat de réglementer les cas de parasitage et dans ce cas où s'arrête-t-on? Pourquoi ne pas faire aussi porter la responsabilité au vendeur de nom de domaine?

  5. #5
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Avril 2002
    Messages
    2 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 63
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2002
    Messages : 2 789
    Points : 18 930
    Points
    18 930
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

    N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

    Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
    Let's Encrypt n'à absolument pas les moyens humains de faire ce genre de vérification, c'est une appli qui génère des certificats à tous ceux qui en font la demande...
    Donc https ne veux pas forcément dire sécurité puisque même les malfaisants peuvent avoir un certificat...
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  6. #6
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    268
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 268
    Points : 556
    Points
    556
    Par défaut
    D'un point de vue purement formel le principe d’autorité de confiance c'est que c'est le garant de certifier une confiance dans "l'échange" (pas de man in the middle par ex) et non le contenu de l'échange, la norme SSL n'intègre pas l'aspect moral or c'est ce qui est visé ici, un peu comme les enfants de députés payés gracieusement avec l'enveloppe de papa, d'un point de vue purement réglementaire, c'est légal, moralement ça l'est beaucoup moins.

  7. #7
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Citation Envoyé par Pierre Louis Chevalier Voir le message
    Let's Encrypt n'à absolument pas les moyens humains de faire ce genre de vérification, c'est une appli qui génère des certificats à tous ceux qui en font la demande...
    Donc https ne veux pas forcément dire sécurité puisque même les malfaisants peuvent avoir un certificat...
    Dès lors à quoi sert le https, si on peut obtenir un certificat en se faisant passe pour n'importe qui? Si je comprend bien, je me fais un site du style "www.micro-soft.com", j'obtiens un certificat au nom de "microsoft" et vogue la galère, je peux me faire passer pour microsoft... C'est possible?

  8. #8
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2013
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 9
    Points : 67
    Points
    67
    Par défaut
    NSKis : le but d'un certificat SSL est de sécuriser les données échangées entre toi et le site, point. C'est ce que fourni Let's Encrypt, et c'est déjà un énorme progrès dans la sécurisation d'internet.

    Il existe des certificats SSL de "plus haut niveau", les certificats EV, qui en plus du joli cadenas vert certifient que le domaine est légitime (la fameuse barre verte avec le nom de l'entreprise). Il faut pour ces certificats montrer patte blanche avec souvent un mail + un appel téléphonique + un certain montant à débourser.

    Comme à l'époque on a appris au grand public à se méfier des sites Http, il faudra leur apprendra la différence entre SSL (cadenas vert) et SSL EV (barre verte)

  9. #9
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 547
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 547
    Points : 21 602
    Points
    21 602
    Par défaut
    Je veux dire, le service s'appelle juste Let's Encrypt, et derrière on demande à quoi ça sert ?
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  10. #10
    Membre du Club
    Profil pro
    Inscrit en
    Mars 2002
    Messages
    38
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2002
    Messages : 38
    Points : 51
    Points
    51
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Dès lors à quoi sert le https, si on peut obtenir un certificat en se faisant passe pour n'importe qui? Si je comprend bien, je me fais un site du style "www.micro-soft.com", j'obtiens un certificat au nom de "microsoft" et vogue la galère, je peux me faire passer pour microsoft... C'est possible?
    Tu peux mais le navigateur refusera la connexion et te mettra une alerte si le certificat ne correspond pas au nom du domaine. Donc ça ne sert pas à grand chose.
    Il faudrait que tu obtiennes un certificat pour www.micro-soft.com, ainsi tu auras le petit cadenas vert qui va bien pour tromper l'utilisateur.

  11. #11
    Futur Membre du Club
    Inscrit en
    Juillet 2005
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : Juillet 2005
    Messages : 1
    Points : 6
    Points
    6
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

    N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

    Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
    Bonjour,

    Je vais essayer de répondre précisément à la question de NSKis.
    Ta question, telle que formulée, porte sur les "certificats" et non sur les "autorités de certification".
    Il faut prendre en compte plusieurs notions en ce qui concerne la sécurisation des sites internet:
    • les certificats
    • la confiance dans un certificat
    • les autorités de certification (AC)
    • la confiance dans ces AC


    Un certificat SSL sert à crypter les communications entre 2 partis. Il n'a pas besoin d'être valide, ni d'être signé par une autorité "reconnue", pour crypter des communications et éviter le Man In the Middle.

    La confiance dans un certificat se défini en différent point:
    • l'émission du certificat par une autorité de certification "de confiance"
    • le nom commun de certificat reflètant le nom de domaine du site
    • la force des algorithmes de signature du certificat.

    Quand ces 3 points sont vérifiés, le cadenas vert aparait.

    Les autorités de certification sont des organismes émettant des certificats. Ils sont aujourd'hui communemant dit de confiance quand leurs certificats sont installés dans la plus part des navigateurs. Mais qui décide le niveau de confiance que l'on peut réellement avoir dans ces autorités ? Le monde des affaires (et non celui de la sécurité des utilisateurs).

    Un utilisateur très averti peut alors définir SA CONFIANCE en internet en retirant de ses navigateur les certificats des autorités en qui il n'a pas confiance.
    Toutes les autorités vérifient que le demandeur de certificat a accès à la mise à jour du site pour lequel le certificat est demandé. Enormément d'autorités s'arrètent là. C'est aussi le cas de Let's Encrypt.
    Certaines autorités vérifient l'identité de la personne demandant le certificat et son habilitation réelle au sein de son entreprise éventuelle à demander un certificat pour ce site. C'est le cas des certificats EV.
    Certaines autorités vérifient la moralité selon une idéologie, une religion ... du site pour lequel le certificat est demandé. Je n'ai pas d'exemple en tête, mais c'est le cas.
    Les navigateurs mettent à disposition toutes ces catégories d'autorités, à l'utilisateur soucieux de sa sécurité de définir celles qu'il veut garder.
    Naturellement, très très peu de gens le font.

    wattazoum

  12. #12
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    analyse réalisée par Vincent Lynch, expert en chiffrement travaillant pour le compte de SSL Store
    En même temps, il ne va pas dire du bien de son concurrent. Ne lui reste donc plus qu'à expliquer que le boulot du concurrent est mauvais, ce qui passe soit par montrer que ledit concurrent fait des boulettes, ce qui n'est pas le cas ici vu que ces certificats sont considérés par Let's Encrypt comme valides, soit par faire valoir la vision du concurrent comme mauvaise, ce qu'il tente de faire ici.

    Citation Envoyé par NSKis Voir le message
    Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

    N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

    Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
    Pour faire simple, si tu envoies un courrier par la Poste à DVP en disant comme tu les aimes, puis que quelqu'un l'ouvre en cachette pour remplacer le message par un panier d'insultes en tout genre, ce qu'on appelle une attaque de l'homme du milieu, le message qu'ils vont recevoir sera corrompu. Si le travail est bien fait, ils n'auront aucun indice pour s'en rendre compte, et penseront donc que tu les as insulté et pourront porter plainte pour injure, "preuve" à l'appui (sic).

    Le principe du certificat est de chiffrer ton message avec une clé privée (connue uniquement de toi), de manière à ce que si le contenu change, le contenu chiffré soit différent. De l'autre côté, DVP recoit ton courrier et tente de le déchiffrer avec une clé publique (connue de tous) appairée à ta clé privée (elle permet de déchiffrer ton message sans fournir assez d'infos pour deviner la clé privée). Ils seront donc capables de déchiffrer le message. Sur ce seul principe, n'importe qui peut le déchiffrer, vu que la clé publique est disponible pour tous, mais si l'homme du milieu veut changer le contenu, il faut qu'il chiffre sont nouveau contenu avec la clé privée, sinon la clé publique ne marchera pas lors du déchiffrement et DVP se rendra compte de la supercherie. Mais ta clé privée étant bien gardée, il en est incapable. Le certificat permet donc à DVP de s'assurer que le message qu'ils ont reçu est bien celui que toi tu as envoyé.

    De la même manière, un certificat appliqué à un site web assure que les données que tu reçois de ce site web n'ont pas été corrompues sur le chemin par une attaque de l'homme du milieu. Donc si tu te connectes au site https://mail.google.com, le certificat permet de garantir que les données reçues viennent bien de GMail, mais de la même manière si tu te connectes au site https://fake.mail.google.com, le certificat propre à ce site certifie que les données reçues viennent bien de ce site, de toute évidence un site douteux.

    Garantir que ce qui est fait sur le site est légal ou légitime n'est pas du ressort du certificat. Pour reprendre la métaphore de l'enveloppe, avant de te donner la possibilité d'utiliser un certificat pour ton courrier, il faudrait qu'on juge d'une manière ou d'une autre le contenu que tu pourrais envoyer, ce qui est très subjectif. Tout le débat étant de savoir si une autorité qui délivre des certificats doit faire ce travail supplémentaire de "juger" le site pour savoir s'il mérite d'avoir un certificat. Let's Encrypt considère que ce n'est pas son rôle, et se concentre donc sur le rôle premier des certificats, qui est de garantir que les données arrivent telles qu'elles ont été envoyées, peu importe leur contenu.

    Citation Envoyé par Jarodd Voir le message
    Mais ce n'est pas spécifique à Let's Encrypt, si ? Les autres autorités ne génèrent pas de certificat pour les termes Paypal, Apple, Gmail ? Ou bien ils ne sont pas aussi transparents que LE sur ces statistiques ?
    Certains sont plus laxistes que d'autres, LE étant le plus laxiste vu qu'il ne fait aucun contrôle. Mais pour ceux qui estiment qu'il faut juger le site, chacun peut être plus ou moins rigoureux, et je ne sais pas s'il y a des critères objectifs, ou ne serait-ce que conventionnels. Mais ce qui est sur est qu'il y a déjà eu des erreurs.

    Citation Envoyé par NSKis Voir le message
    Dès lors à quoi sert le https, si on peut obtenir un certificat en se faisant passe pour n'importe qui? Si je comprend bien, je me fais un site du style "www.micro-soft.com", j'obtiens un certificat au nom de "microsoft" et vogue la galère, je peux me faire passer pour microsoft... C'est possible?
    Non, ton certificat sera un certificat "www.micro-soft.com". Tu ne peux jouer que sur la ressemblance et l'inattention de l'internaute pour l'avoir.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #13
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Merci à Matthieu Vergne et à wattazoum pour vos explications très instructives.

    Vous démontrez par là tout l'intérêt d'un site tel que developpez.com.

    Ne pouvant pas être au top des connaissances dans tout les domaines du numérique, l'aide de la communauté est précieuse.

  14. #14
    Membre chevronné Avatar de petitours
    Homme Profil pro
    Ingénieur développement matériel électronique
    Inscrit en
    Février 2003
    Messages
    1 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement matériel électronique
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2003
    Messages : 1 916
    Points : 1 930
    Points
    1 930
    Par défaut
    Bonjour

    Le problème majeur que je vois vient des navigateurs qui manipulent et vulgarisent cette confiance.
    Mettre du rouge et des warning quand ce n'est pas SSL ok, c'est discutable mais pourquoi pas. Mais aller mettre du vert et des messages rassurants quand il y a SSL c'est profondément débile. 99.9% des utilisateurs (qui n'ont pas la moindre notion sur les certificats) perdent dans ce vert la fragile vigilance qu'ils avaient avant. Le pishing paypal évoqué ici doit avoir la belle vie grâce à ça.

    Comme nos politiques qui ont la cote un jour et font la gueule le lendemain après une révélation je redoute le jour où une autorité de certification sera piraté discrètement et que ça va péter après. Et pas la peine de parler de la révocation des certificats, il y a un paquet de systèmes qui ne les vérifient pas et même dans le monde de bisousnours où ce serait le cas le délai serait bien trop long.
    Il y a 10 sortes de personnes dans le monde : ceux qui comprennent le binaire et les autres

  15. #15
    Invité
    Invité(e)
    Par défaut
    Attention, Let's Encrypt a une spécificité qui semble unique dans le domaine des autorités de certification : elle fournie des certificats SSL gratuits...
    C'est ce qui facilite la diffusion massive de ces certificats frauduleux.
    De plus, Let's Encrypt n'en n'a rien à battre de qui demande de tels certificats.
    Let's Encrypt est donc bien un vrai problème de sécurité informatique à elle seule...

  16. #16
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 547
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 547
    Points : 21 602
    Points
    21 602
    Par défaut
    Uniquement si tu considères comme une faille de sécurité que des sites frauduleux soient capables de communiquer avec toi de manière chiffrée.

    La faille de sécurité est plutôt dans le fait supposé que les gens prennent l'icône de la communication chiffrée comme une icône d'être en sécurité. Sans que ça viendrait à l'idée de quiconque que si ils ont des malwares, le navigateur affichera bien l'icône qui lui chante.

    De toute façon j'y crois pas trop à cette idée de sécurité perçue. Certes, à une époque il y a eu des échos et une volonté d'expliquer aux gens qu'il faut s'assurer d'avoir le cadenas pour avoir de la sécurité. Alors depuis cette époque, déjà les icônes en rapport avec la chose ont pas mal évolué. Et surtout, quelqu'un a déjà rencontré une personne qui a été influencée par cette campagne du cadenas ? Pas moi. Les gens s'en battent l'œil profondément du cadenas. A la rigueur ils remarquent que le cadenas rouge barré ou le panneau d'avertissement indique que le site n'est pas assez sécurisé au point qu'on s'en rend compte. Mais ils savent aussi que des voleurs talentueux qui ne se font pas prendre comme ça, ça existe.
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  17. #17
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mai 2016
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Mai 2016
    Messages : 2
    Points : 6
    Points
    6
    Par défaut
    Citation Envoyé par thelvin Voir le message
    Et surtout, quelqu'un a déjà rencontré une personne qui a été influencée par cette campagne du cadenas ? Pas moi. Les gens s'en battent l'œil profondément du cadenas. A la rigueur ils remarquent que le cadenas rouge barré ou le panneau d'avertissement indique que le site n'est pas assez sécurisé au point qu'on s'en rend compte.
    Oui: de plus en plus de clients nous demandent un certificat pour leur site, justement parce que Firefox signale les sites non https comme peu sûrs quand ils doivent saisir un mot de passe.
    Nom : Firefox.jpg
Affichages : 217
Taille : 9,5 Ko

    Intéressant de constater que le site "developpez.net" est bien en https... mais avec le petit triangle orange (Firefox) signalant que le site a des parties non sécurisées


  18. #18
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Froggy001 Voir le message
    Intéressant de constater que le site "developpez.net" est bien en https... mais avec le petit triangle orange (Firefox) signalant que le site a des parties non sécurisées

    Ça leur a été signalé, mais pour l'éviter il te faut par exemple avoir toutes les images affichées en https, même celles reprises de sites externes. Mais comme c'est de la responsabilité des auteurs des articles, ce n'est pas forcément respecté, d'où le logo orange. À part interdire l'utilisation de liens non https dans les futurs articles, DVP n'y peut pas grand chose.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  19. #19
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    Je reformule l'article à ma façon, style "cuisine" : "Let's Encrypt fabrique des couteaux aiguisés, tout le monde a peur car même si c'est pratique pour couper la viande, on peut faire du mal avec".

    Ca va plus loin : "on a utilisé les couteaux Let's Encrypt pour menacer et voler des gens. Donc Let's Encrypt est responsable de ce problème". Personnelllement, je ne pense pas.
    .I..

  20. #20
    Membre averti Avatar de alexetgus
    Homme Profil pro
    Webmaster
    Inscrit en
    Novembre 2014
    Messages
    129
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : Novembre 2014
    Messages : 129
    Points : 323
    Points
    323
    Par défaut Complément d'infos
    Salut,

    Pour compléter les propos de Wattazoum et Matthieu Vergne, et surtout faire au plus simple, il faut savoir que les certificats ont plusieurs buts.

    Le premier de ces buts est d'obtenir une communication chiffrée entre un client et un serveur (et vice versa).
    C'est la base des certificats de sécurité. Ils identifient et garantissent une adresse de site web dont il chiffreront les échanges avec le client (l'internaute).

    Ensuite, il est possible d'obtenir des certificats qui garantissent une identité ou celle d'une entité, comme Coca-cola, par exemple.
    Ce type de certificat affiche le nom de l'entité directement à côté du Cadenas.
    En France, le site des impôts (impots.gouv.fr) n'affiche aucune garantie sur son identité, il ne garantit que la véracité de l'adresse du site et chiffre les échanges. Il est donc exposé au phishing.
    Par contre, le site de Mozilla garantit son identité et chiffre les échanges, bien entendu. Il est tout autant exposé au phishing sauf pour ceux qui le connaissent et ne verront plus la garantie de son identité.

    Il existe aussi des certificats utilisés exclusivement pour s'identifier auprès d'un serveur. La plupart du temps, les échanges seront chiffrés, sinon il serait ridicule d'exiger un certificat à l'entrée et de ne pas en utiliser en interne....

    Un certificat de sécurité sert avant tout à chiffrer les échanges entre un serveur et un client. Il peut apporter des garanties supplémentaires, mais ce n'est pas son rôle premier qui est de chiffrer une communication.
    C'est avant tout au client de s'assurer qu'il n'est pas sur un site de phishing, le certificat apporte peu de garanties à ce sujet pour un non initié.

    En ce moment, mon problème est que mon certificat m'a été remis par StartCom Ltd. Théoriquement, je devrais passer entre les gouttes de la punition que cette autorité a essuyé, mais ce n'est pas garanti.
    J'attends, et j'agirai en conséquences, plus que certainement dans l'urgence...
    Et pourtant, mon autorité de certification a merdé, mais ce n'est pas le cas de mon site.

    C'est comme Letsencrypt, ils délivrent des certificats à qui en fait la demande. Ils s'assurent que le demandeur est bien propriétaire du site concerné et cela suffit pour obtenir un certificat de simple chiffrement. C'est pareil chez les autres autorités de certification, il suffit de prouver que l'on est propriétaire du site pour lequel on demande un certificat pour obtenir ce certificat.
    Tant qu'il ne s'agit pas de vérifier une identité, il n'existe aucun problème et c'est à l'internaute (le client) d'être vigilant.

    D'autant plus que ce problème va se généraliser.
    Google fait le forcing pour que tous les sites proposent des échanges chiffrés via un certificat. Sinon, à terme, les webmasters seront pénalisés dans la position de leur site dans les résultats d'une recherche.
    Les "emmerdeurs" vont donc eux aussi s'adapter et ils risquent de le faire plus rapidement que les webmasters honnêtes !

Discussions similaires

  1. Quelle société pour un certificat SSL le plus basique possible ?
    Par student_php dans le forum Général Conception Web
    Réponses: 0
    Dernier message: 18/11/2013, 17h25
  2. IIS et certificat SSL
    Par rastali dans le forum IIS
    Réponses: 1
    Dernier message: 06/01/2006, 16h11
  3. Réponses: 2
    Dernier message: 15/11/2005, 13h27
  4. prix d'un certificat ssl cher ?
    Par roninou dans le forum Sécurité
    Réponses: 1
    Dernier message: 16/09/2005, 15h08
  5. Certificat SSL ...
    Par rgarnier dans le forum XMLRAD
    Réponses: 12
    Dernier message: 22/03/2005, 10h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo