Le cadenas et les certificats ne sont pas toujours une securite sur Internet

Voir le sujet précédent Voir le sujet suivant Aller en bas

Le cadenas et les certificats ne sont pas toujours une securite sur Internet

Message par Informadomicile le Ven 2 Avr - 8:49

Il va sans dire que vous ne devez JAMAIS effectuer de transaction financière ou communiquer des éléments de votre vie personnelle avec un site web si il n'est pas sécurisé.
Mais.... Le fait qu'un site web soit en apparence sécurisé par le petit cadenas, la présence de https:\\ au début de son adresse et/ou la couleur de la barre d'adresse, ou encore le gros bouton a cote d'elle, n'est pas forcement un gage que personne n'écoute ce que vous transmettez a ce site par l'intermédiaire du cryptage SSL.

Voici un article du magazine Wired sur le sujet :
http://www.wired.com/threatlevel/2010/03/packet-forensics

Sa traduction Google :
http://translate.google.fr/translate?js=y&prev=_t&hl=fr&ie=UTF-8&layout=1&eotf=1&u=http%3A%2F%2Fwww.wired.com%2Fthreatlevel%2F2010%2F03%2Fpacket-forensics&sl=en&tl=fr

L'essentiel en 2 mots :
- une société diffuse des boitiers permettant de s'intercaler entre l'utilisateur et le serveur sécurisé tout en entretenant avec eux une communication cryptée par un certificat que le navigateur reconnait comme parfaitement valide.
- Le principe repose sur un "faux" certificat émis par une autorité de confiance reconnue par le navigateur
- Les navigateur reconnaissent de 140 a 250 sociétés de certification dans le monde dont les certificats sont acceptés valides. Ces même sociétés peuvent accréditer d'autres sociétés de second niveau qui peuvent a leur tour accréditer d'autres sociétés...
- Ces considération vont bien au delà de la protection de la vie privée des occidentaux, elles concernent la surveillance mondiale et la répartition des gentils et des méchants.

L'article rappelle quelques recherches déjà publiées :
- Il est possible de tromper un navigateur Internet sur l'authenticité réelle d'un certificat : http://www.wired.com/threatlevel/2009/07/kaminsky/
- Il y a eu un grand débat sur ces "sociétés accréditées" lorsque Fiérot a intégré une société Chinoise dans sa liste : http://www.freedom-to-tinker.com/blog/felten/mozilla-debates-whether-trust-chinese-ca
- Une des sociétés présente dans ses listes d'émetteurs de confiance de certificats, a été la source d'une diffusion massive de spyware sur des BlackBerries http://www.wired.com/threatlevel/2009/07/blackberry-spies/
- une étude sur le risque concernant le vols de propriétés intellectuels par le moyen de faux certificats : http://files.cloudprivacy.net/ssl-mitm.pdf

Enfin le contexte :
- Forte concurrence entre les sociétés reconnues "autorités de confiance " dans le monde puisque leur nombre ne se cesse de croitre.
- Verisign, l'une des plus anciennes et des plus grosses de ces sociétés, vient d'émettre un nouveau type de certificat, les "EV" qui modifient la couleur de la barre d'adresse du navigateur selon le type de certificat rencontré : http://files.cloudprivacy.net/ssl-mitm.pdf

Un dernier mot, il n'est pas prouvé que de faux certificats aient été émis par ces autorités de confiance, ni non plus que des Gouvernements aient utilisés ce type de subterfuge. Il est plus simple pour un gouvernement de demander au site Web en question, sous mandat judiciaire si besoin, qu'il fournisse le n° de clef privée correspondant au certificat.

La question finalement c'est :
Quelle confiance avons nous dans nos gouvernement ?
Quelle confiance avons nous dans nos gouvernements pour décider quelles sociétés (commerciales...) sont dignes de confiance ?

_________________
Dépannage Informatique à Domicile :
informadomicile.fr
avatar
Informadomicile
Administrateur

Masculin Nombre de messages : 4164
Age : 50
Date d'inscription : 30/04/2006

Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum