+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 915
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 915
    Points : 64 650
    Points
    64 650

    Par défaut Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web

    Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ?
    Oui, selon des experts

    L’autorité de certification Let's Encrypt a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour. Fin juin, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés.

    Josh Aas, directeur exécutif de l’ISRG (Internet Security Research Group),l'organisation qui supervise Let's Encrypt, y est allé de son commentaire : « Ce nombre reflète au moins quelques éléments :
    « tout d'abord, cela illustre la forte demande de nos services. Nous souhaitons remercier tous les administrateurs système, les développeurs Web et tous les autres gestionnaires de serveurs pour prioriser la protection de vos visiteurs avec HTTPS.
    « Ensuite, cela illustre notre capacité d'évolutivité. Je suis incroyablement fier du travail que nos équipes d'ingénieurs ont fait pour rendre possible ce volume de diffusion. Je suis également très reconnaissant à nos partenaires opérationnels, parmi lesquels IdenTrust, Akamai et Sumo Logic.
    « Et enfin, cela illustre la puissance de la gestion automatisée des certificats. Si l'obtention et la gestion de certificats de Let's Encrypt nécessitent toujours des étapes manuelles, il n'y a tout simplement aucun moyen de pouvoir utiliser autant de sites que nous. »

    Cependant, malgré les louanges des militants de la vie privée ainsi que ceux de la communauté de sécurité qui sont venus saluer les efforts et les réalisations de l’organisme à but non lucratif, certains critiques ont sonné la cloche d’alarme en prévenant que Let's Encrypt pourrait être coupable d'aller trop loin, trop vite et de donner trop de bonne chose sans avoir mis sur pied les bons contrôles et contrepoids.

    L'inquiétude principale est que, bien que la croissance de l’utilisation du protocole SSL/TLS soit une tendance positive pour l’écosystème du Web tout entier, elle offre également aux criminels un moyen simple de faciliter la falsification des sites Web, l'emprunt d'identité des serveurs, les attaques man-in-the-middle, mais aussi un moyen de faire passer des logiciels malveillants à travers les mailles du filet des pare-feux d'entreprises.

    « Les utilisateurs peu conscients pourraient penser qu'ils communiquent avec des sites fiables, car l'identité du site a été validée par une autorité de certification, sans se rendre compte que ce ne sont que des certificats de validation de domaine sans aucune garantie quant à l'identité de l'organisation propriétaire du site » , a déclaré Asif Karel, directeur de la gestion des produits chez Qualys.


    Bien entendu, les critiques ne rendent pas Let’s Encrypt responsable de ces abus, mais elles estiment que l’autorité pourrait faire un meilleur travail en vérifiant les candidats pour éliminer les mauvais acteurs.

    « Let’s Encrypt peut, dans l’absolu, être trompé », a reconnu Josh Aas. « Toutefois, il en va de même pour les autres autorités de certification. Les gens se comportent comme si Let's Encrypt est la première autorité de certification à être trompée. C'est absurde. »

    Les certificats de validation de domaine sont une solution évidente pour sécuriser les communications entre un navigateur Web et un serveur utilisant un protocole SSL/TLS. Let's Encrypt est un système automatisé de libre-service qui vérifie seulement qu'un candidat maîtrise un domaine avant de délivrer un certificat gratuit. Pour les experts, ce type de système a des chances d’être trompé lors de la délivrance de certificats de validation de domaine.

    Les certificats de validation de domaine ne doivent pas être confondus avec des certificats étendus de validation et de validation organisationnelle. Ces certificats de niveau supérieur utilisés par les banques, les assureurs et les sites de commerce électronique nécessitent un examen approfondi des candidats pour s'assurer que les sites sont ceux qu'ils disent être. Outre le HTTPS vert montré dans les navigateurs, ces certificats de niveau supérieur peuvent également montrer le nom de l'entreprise et en plus d'une multitude de données sur le site. Let’s Encrypt délivre uniquement les certificats de validation de domaine basiques. Les autorités de certificats commerciaux émettent les trois niveaux et ne sont pas non plus tenues de procéder à un examen approfondi des candidats à la validation de domaine.

    « Je pense que le problème de sécurité est dans le processus d'authentification d'obtenir un certificat de (validation de domaine). Tout cela est fait en disant : “D'accord, ici, j'ai un domaine”. Je pense qu'il devrait y avoir un certain processus de vérification. Cela rendrait plus difficile pour les acteurs malveillants de les obtenir », a déclaré Justin Jett, directeur de l'audit et de la conformité chez Plixer, un cabinet d'analyse du trafic réseau.

    Si lui, et d’autres professionnels saluent le travail abattu par Let’s Encrypt, il est persuadé que l’autorité occupe une position unique pour jouer un rôle de leader qui pourrait être utilisé pour réprimer l'abus de certificat en ce qui concerne une meilleure vérification des candidats afin d'éliminer les cybercriminels. Mais Let's Encrypt a fait valoir que vérifier 100 000 demandes de certification par jour n'est pas du domaine du réalisable. Et de rappeler qu'il n'est pas exigé des autorités de certification qu’elles vérifient ce type de certificat et qu’il serait donc injuste de vouloir l’imposer à Let’s Encrypt.

    À partir de janvier 2018, Let's Encrypt a déclaré qu'il présentera des certificats génériques aux entreprises. Cela signifie que n'importe qui avec un domaine tel que « exemple.com » pourra désormais créer un nombre illimité de sous-domaines génériques tels que « premier.exemple.com » et « second.exemple.com » et ainsi de suite.

    « Avec les certificats génériques, les pirates peuvent maintenant changer facilement les noms d'hôtes pour leurs sites de phishing sans avoir besoin de changer le certificat, rendant les attaques Man-in-the-middle encore plus difficile à détecter », a déclaré Karel. « La préoccupation est que les acteurs malveillants peuvent utiliser ces certificats beaucoup plus souvent que les bons. »

    Source : Let's Encrypt, annonce des certificats génériques

    Et vous ?

    Qu'en pensez-vous ? Partagez-vous l'opinion de ces chercheurs ?
    De par sa position qui commence progressivement à devenir incontournable, Let's Encrypt serait-il tenu d'être plus rigoureux que les autres autorités ?

    Voir aussi :

    Plus de 14 000 certificats SSL contenant le mot « PayPal » ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif Avatar de Vulcania
    Homme Profil pro
    Alternant Dev C++
    Inscrit en
    juillet 2011
    Messages
    47
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 22
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Alternant Dev C++
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2011
    Messages : 47
    Points : 285
    Points
    285

    Par défaut

    Le soucis que je trouve avec Let's Encrypt, c'est qu'on affiche un petit cadenas vert à côté de l'url. Let's Encrypt ne vérifie pas du tout l'identité du propriétaire du domaine, ni ce qu'il cherche à faire avec.

    J'aurais préféré : http simple => cadenas rouge barré, https simple => rien, c'est "neutre", https vérifié => cadenas vert, au moins la plupart des gens comprendront.

  3. #3
    Membre éprouvé Avatar de Marc3001
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2008
    Messages
    828
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : février 2008
    Messages : 828
    Points : 1 269
    Points
    1 269

    Par défaut

    C'est pas vraiment un problème lié à let's encrypt.
    Let's encrypt délivre des certificats SSL standard avec le même niveau de vérification que d'autres autorités de certification.

    C'est le navigateur, qui décide de mettre un cadenas vert à partir du moment où la connexion au site est chiffrée.
    Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre.

    Linus Torvalds

  4. #4
    Membre chevronné
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    356
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : janvier 2014
    Messages : 356
    Points : 1 928
    Points
    1 928

    Par défaut

    Il en reste pas moins qu'il y a tromperie manifeste, puisque le grand public est convaincu que cadenas vert = sécurité alors que pendant ce temps Let's Encrypt envoie des dizaines de milliers de certificats à des sites escrocs...

    Exemple : L'histoire d'une arnaque sur Internet qui cible des Français et qui rapporterait des dizaines de millions chaque année aux arnaqueurs : Escroquerie, mais cadenas vert !

    Combien de gens savent qu'on peu avoir un cadenas vert et être sur un site d'escroc ?

  5. #5
    Membre averti Avatar de Andarus
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2008
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2008
    Messages : 106
    Points : 309
    Points
    309

    Par défaut

    Citation Envoyé par Vulcania Voir le message
    Le soucis que je trouve avec Let's Encrypt, c'est qu'on affiche un petit cadenas vert à côté de l'url. Let's Encrypt ne vérifie pas du tout l'identité du propriétaire du domaine, ni ce qu'il cherche à faire avec.
    c'est quoi du https vérifié et qui on rend responsable de le certifier?

  6. #6
    Membre éclairé
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    juin 2004
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juin 2004
    Messages : 258
    Points : 793
    Points
    793

    Par défaut

    Citation Envoyé par Mingolito Voir le message
    Combien de gens savent qu'on peu avoir un cadenas vert et être sur un site d'escroc ?
    Pourquoi mettre en cause Let's Encrypt ? Un escroc va-t-il vraiment regarder à dépenser 500€ pour avoir un certificat ? C'est sûr que si c'est gratuit il ne va pas se priver, mais si c'est payant ça ne le dérange certainement pas outre mesure.

    L'exemple dont tu parles existe depuis bien plus longtemps que Let's Encrypt, et s'il existe vraiment, génère vraisemblablement des millions d'euros ^^

  7. #7
    Membre éprouvé
    Avatar de Gecko
    Homme Profil pro
    Développeur décisionnel
    Inscrit en
    décembre 2008
    Messages
    495
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur décisionnel

    Informations forums :
    Inscription : décembre 2008
    Messages : 495
    Points : 1 263
    Points
    1 263

    Par défaut

    Citation Envoyé par Andarus Voir le message
    c'est quoi du https vérifié et qui on rend responsable de le certifier?
    Un certificat vérifié est délivré après un contrôle des documents relatifs à l'identité de l'acquéreur.

    Par exemple dans ma boîte à chaque renouvellement (tous les ans) le prestataire revalide point par point l'identité du CTO, du DG et les documents relatifs à l'entreprise.

    Let's encrypt devrait bénéficier d'un visuel différents, style cadenas orange au lieu du cadenas vert.

    De plus la longueur de la clé devrait déterminer la teinte du logo.
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    if ($toBe || !$toBe) echo 'That is the question';

    Mes projets: DVP I/O

  8. #8
    Membre averti Avatar de Andarus
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2008
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2008
    Messages : 106
    Points : 309
    Points
    309

    Par défaut

    Citation Envoyé par Gecko Voir le message
    Un certificat vérifié est délivré après un contrôle des documents relatifs à l'identité de l'acquéreur.

    Par exemple dans ma boîte à chaque renouvellement (tous les ans) le prestataire revalide point par point l'identité du CTO, du DG et les documents relatifs à l'entreprise.

    Let's encrypt devrait bénéficier d'un visuel différents, style cadenas orange au lieu du cadenas vert.

    De plus la longueur de la clé devrait déterminer la teinte du logo.
    Merci j'ai appris un truc

Discussions similaires

  1. Réponses: 19
    Dernier message: 09/04/2017, 14h38
  2. fonction GET et POST avec un certificat SSL
    Par bruce20 dans le forum PHP & MySQL
    Réponses: 5
    Dernier message: 31/07/2010, 17h19
  3. Réponses: 1
    Dernier message: 19/03/2010, 10h37
  4. Certificat SSL avec Keytool => GNU ?
    Par matt_lc dans le forum Tomcat
    Réponses: 4
    Dernier message: 03/10/2007, 10h48
  5. Obtenir un certificat SSL, un moyen gratuit?
    Par Togis dans le forum Exchange Server
    Réponses: 3
    Dernier message: 29/07/2007, 19h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo