+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 116
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 116
    Points : 70 649
    Points
    70 649

    Par défaut Mozilla envisage de révoquer les certificats issus par une autorité du gouvernement néerlandais

    Mozilla envisage de révoquer les certificats issus par une autorité sous la houlette du gouvernement néerlandais,
    suite à un changement dans la loi locale

    Les ingénieurs de Mozilla envisagent de supprimer le support d'un fournisseur TLS / HTTPS néerlandais exploité par l'État après que le gouvernement néerlandais a voté une nouvelle loi autorisant les autorités locales à intercepter les communications Internet à l'aide de « fausses clés ».

    Si le plan venait à être approuvé, alors Firefox ne fera plus confiance aux certificats émis par l'autorité de certification (AC) Staat der Nederlanden (État des Pays-Bas). Cette autorité est gérée par PKIOverheid / Logius, une division du ministère de l'Intérieur et des Relations du Royaume, qui est le même ministère qui supervise le service de renseignement de l'AIVD.

    À ce propos, Christ Van Pelt, qui a rapporté ce problème, il y a quelques semaines déjà, a indiqué que « La nouvelle "Wet op de inlichtingen- en veiligheidsdiensten (Wiv)" (loi sur les services de renseignement et de sécurité) a été acceptée par le gouvernement néerlandais. Des dispositions autorisant de nouveaux pouvoirs pour les services de renseignement et de sécurité néerlandais seront mises en place à partir du 1er janvier 2018.

    « Cette révision de la loi permettra au renseignement et à la sécurité d'intercepter et d'analyser le trafic (Internet) relié par câble et comprendra des autorisations de grandes portées, y compris des attaques techniques dissimulées, pour faciliter leur accès au trafic crypté.

    « L'article 45, paragraphe 1, point b), autorise explicitement l'utilisation de “fausses clés” dans des systèmes tiers pour obtenir l'accès aux systèmes et aux données. »

    En clair, cette nouvelle loi confère aux autorités néerlandaises le pouvoir d'intercepter et d'analyser le trafic Internet. Alors que d'autres pays ont des lois similaires, ce qui rend cette dernière spéciale, c'est que les autorités seront autorisées à mener des attaques techniques secrètes pour accéder au trafic chiffré.

    De telles capacités techniques dissimulées incluent l'utilisation de « fausses clés », un terme général qui inclut les certificats TLS.

    Mozilla craint que les autorités néerlandaises délivrent des certificats par le biais de son autorité de certification locale qui leur permettra de mettre en place des proxies SSL pour mener des attaques Man-in-the-Middle (MitM) sur tous les utilisateurs tombant dans les mailles du filet d’une opération de surveillance Internet.

    En n’accordant plus sa confiance à ces certificats, Firefox entravera ainsi les tentatives d'interception en affichant des erreurs de certificat SSL pour ces connexions, attirant ainsi l'attention des utilisateurs sur le fait que quelque chose pourrait se produire.

    Aussi, la conclusion de Chris van Pelt a été sans appel : « Il faut révoquer la confiance que nous avons en l’autorité de certification Staat der Nederlanden. Permettre au ministère de l'Intérieur et des Relations du Royaume de continuer à exploiter une autorité de certification dans un pays hébergeant un important point de transit Internet serait préjudiciable à la sécurité de tous les utilisateurs de Mozilla. »

    Source : BugZilla
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert
    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2009
    Messages
    1 414
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2009
    Messages : 1 414
    Points : 3 239
    Points
    3 239

    Par défaut

    Les autres pays qui n'ont pas acté dans leurs lois ce genre de procédure ne peuvent donc pas le faire .
    Ouf nous sommes sauvés !
    Sérieusement, le https et autres vpn sont justes utiles pour pas ne se faire espionner par le voisin, ou sur un réseau local. A plus haut niveau, c'est du vent.

  3. #3
    Modérateur

    Profil pro
    Inscrit en
    septembre 2004
    Messages
    11 250
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2004
    Messages : 11 250
    Points : 19 045
    Points
    19 045

    Par défaut

    C'est juste que les autres pays n'ont pas officiellement sous leurs ordres une autorité de certification qui peut délivrer des certificats.

    Mais bon... Ça me semble pas très compliqué de débarquer vers une entreprise locale de certification et de leur expliquer que maintenant ils vont délivrer des certificats de la façon citée et plus comme avant, en effet .

    Une différence notable toutefois, c'est que dans un tel pays où les autorités font ça dans le dos des usagers, les employés qui reçoivent ces nouvelles directives sont au courant qu'elles ne sont pas recevables. Illégales ou carrément anticonstitutionnelles. Et il y a des chances pour que ça ne leur plaise pas trop et qu'ils en parlent. Personne ne peut légalement leur reprocher quoi que ce soit s'ils le font (leur reprocher illégalement est une autre histoire.) Alors que dans un pays où la loi est votée et que cela est légal, eh bien les employés ont choisi leur métier et leur poste, et il ne leur reste plus qu'à faire le travail légal qui leur est demandé. Il peut toujours leur venir l'envie de parler, mais ils sont tenus non seulement par le secret professionel mais aussi d'état. La loi a été votée, et l'état a toute légitimité à faire payer très cher la trahison sans se cacher.
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

Discussions similaires

  1. Réponses: 14
    Dernier message: 11/07/2017, 09h40
  2. Réponses: 4
    Dernier message: 01/03/2007, 15h24
  3. connaitre les paramètres demandés par une méthode
    Par von_magnus dans le forum Tkinter
    Réponses: 4
    Dernier message: 25/07/2006, 15h22
  4. Réponses: 2
    Dernier message: 07/07/2006, 02h26
  5. Sélectionner tous les id renvoyés par une 1ère requête
    Par Prof Vince dans le forum Requêtes
    Réponses: 5
    Dernier message: 29/11/2003, 20h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo