|
|
Mozilla met en demeure les fournisseurs de certificats SSL
Simon Robic -
publié le Vendredi 09 Septembre 2011 à 17h34 -
posté dans High-Tech
Après les attaques récentes de plusieurs fournisseurs de certificats SSL, Mozilla fixe un ultimatum aux membres de son programme root. S'ils n'ont pas prouvé leur intégrité d'ici le 16 septembre, ils pourraient en être radiés.
Ces attaques, revendiquées par un certain ComodoHacker sur PasteBin, ont consisté en la création de plus de 500 certificats frauduleux. 300 000 utilisateurs de Google en Iran auraient été touchés, et leurs comptes Gmail auraient été impactés. Le (les ?) hacker aurait également eu accès à des informations confidentielles comme des clés privées, des backups de serveurs et des données personnelles de clients, notamment chez StartCom. Les fournisseurs de certificats ont réagis différemment. GlobalSign a arrêté de délivrer ses certificats le temps qu'un audit indépendant évalue les données qui auraient pu être compromises. Le fournisseur précise également qu'il est impossible que le pirate ait eu accès à ses clés qui sont générées hors-ligne, et qui restent hors-ligne. Il devrait réactiver ses services de création de certificats lundi. De son côté, la situation s'avère trop critique chez DigiNotar, dont les certificats ont été purement et simplement retirés des navigateurs de Mozilla, Google et Microsoft. Apple serait plus lent à réagir, alors que l'on trouve même la démarche pour supprimer le fournisseur manuellement de son navigateur sur le support de Mozilla. Mozilla va même plus loin et fixe un ultimatum aux fournisseurs de certificats membres de son programme root. Ce programme rassemble différents fournisseurs de certificats normalement reconnus pour leur sérieux. La fondation les somme de fournir les preuves de leur intégrité avant le 16 septembre, sans quoi ils pourraient tout simplement en être radiés. Ces menaces montrent la fragilité de certains maillons de la sécurité sur Internet et démontrent, si besoin en était, que s'assurer d'un Internet décentralisé et ouvert est la seule façon d'en assurer l'intégrité. à lire aussi
  Prix indiqués avec livraison
16
Commentaires à propos de «Mozilla met en demeure les fournisseurs de certificats SSL»
Répondre
Distant Thunder
le 09/09/2011 à 17:51
Ce type a clairement un ego surdimensionné, mais s'il a vraiment fait tout ce qu'il dit, ou même la moitié, et s'il était vraiment seul sans serveurs distants et autre chaîne de proxy mis en place pour lui par les services iraniens, et si en plus il a vraiment eu la bêtise de communiquer son véritable âge, alors oui. Il peut se permettre d'être aussi arrogant...
 A lire pour bien comprendre:
http://www.fansub-st...nce-brisee.html Les certificats SSL pré-inclus dans les navigateurs ? C'est comme si je vous disais ceci, en gros: Je fais confiance à monsieur Martin, monsieur Michu, madame Dulac et madame Machin, je vous ordonne de leur confier toutes vos économies sans réfléchir.
L'idéal c'est donc que l'internaute puisse lui-même spécifier s'il veut accorder sa confiance à telle ou telle autorité de certification, ou non. ps: une bonne idée c'est de créer un web of trust, chaque utilisateur étant une autorité de certification racine protégeant ses proches: Mon frère Dédé a signé un certificat pour le site "tartealacreme.fr", je peux donc faire confiance à ce site car je fais confiance à Dédé.
ps: apprenez cet article par coeur: http://sebsauvage.ne...iser-certpatrol  simonrobic, le 09/09/2011 - 17:34 Lors d'une navigation sécurisée en SSL, Mozilla, via Firefox et Thunderbird, est le dernier garant de cette sécurité auprès de ses utilisateurs.Et Chrome? Et Safari? Et IE? Et Lynx? Ils sentent le paté?  Maj du jour sous linux:
== 20090814+nmu2ubuntu0.1 ==
* SECURITY UPDATE: Blacklist "DigiNotar Root CA" due to fraudulent certificate issuance (LP: #837557) - update mozilla/blacklist.txt == 3.12.9+ckbi-1.82-0ubuntu2.1 == * SECURITY UPDATE: Add patch from Debian version 3.12.11-3 rebased against 3.12.9 to remove the DigiNotar certificates and actively distrust them; Thanks to Mike Hommey from Debian for the original patch (LP: #837557) - mozilla/security/nss/lib/ckfw/builtins/certdata.*: Explicitely distrust various DigiNotar CAs: - DigiNotar Root CA - DigiNotar Services 1024 CA - DigiNotar Cyber CA - DigiNotar Cyber CA 2nd - DigiNotar PKIoverheid - DigiNotar PKIoverheid G2 - mozilla/security/nss/lib/ckfw/builtins/certdata.*: Remove DigiNotar Root CA.   Ouais, tout ça c'est bien sympa mais franchement c'est trop hardcore pour moi. Vous pouvez La refaire en version gens normal? Parce que je suis toujours pas sysadmin moi et La vous parlez chinois. Y'a moyen de La refaire ? Je suis sûre que.vous interresseriez beaucoup de monde.
Goldie : C'est pas forcément évident de faire un cours de sécurité sur le chiffrement en deux lignes dans les commentaires d'un site web hein...
Qu'est ce que tu ne comprend pas exactement ? Ce que ce (ces?) hacker à fait et l'impact potentiel ? Comment fonctionne un certificat SSL ? Ou les explications qui sont ensuite données sur ce qui pourrait nous permettre de nous protéger (un peu) contre ce genre de chose ?  Goldie, le 09/09/2011 - 20:06 Ouais, tout ça c'est bien sympa mais franchement c'est trop hardcore pour moi. Vous pouvez La refaire en version gens normal? Parce que je suis toujours pas sysadmin moi et La vous parlez chinois. Y'a moyen de La refaire ? Je suis sûre que.vous interresseriez beaucoup de monde.Tu es sous Firefox, ou IE, ou autre ? En parlant de certificats, (pour ceux qui utilisent CertPatrol), je rejoins Sebsauvage dans un article (un "en vrac" je crois) récent où il se demandait à quoi joue Google ?
Ils n'arrêtent pas d'apporter des modifications à leurs certificats. Depuis, semble-t-il, la sortie de leur réseau social Google+ (à moins que ça soit un hasard ?). Si quelqu'un a des explications, je suis preneur...  Arkados, le 09/09/2011 - 18:36 Les certificats SSL pré-inclus dans les navigateurs ?Rien n'oblige l'utilisateur à utiliser ces certificats, il peut les supprimer s'il le désir. (A noter aussi que c'est une source non négligeable de revenus pour les développeurs de navigateurs). C'est comme si je vous disais ceci, en gros:
Je fais confiance à monsieur Martin, monsieur Michu, madame Dulac et madame Machin, je vous ordonne de leur confier toutes vos économies sans réfléchir. L'utilisateur est aussi un acteur de sa propre sécurité, s'il ne fait pas attention à l'URL de son site de banque en ligne il est mal barré. L'idéal c'est donc que l'internaute puisse lui-même spécifier s'il veut accorder sa confiance à telle ou telle autorité de certification, ou non.
Il n'a qu'à le faire, ou même ne pas le faire en n'acceptant que les certificats des sites sur lesquels il se rend. Il lui suffit d'agir, même si c'est souvent là que ça coince. ps: une bonne idée c'est de créer un web of trust, chaque utilisateur étant une autorité de certification racine protégeant ses proches:
Mon frère Dédé a signé un certificat pour le site "tartealacreme.fr", je peux donc faire confiance à ce site car je fais confiance à Dédé.
Les proches ne sont pas forcément les plus sûrs... Dédé peut très bien signer tout les yeux fermés, ne rien comprendre aux histoires de signatures numériques ou bien pire : il cherche à m'arnaquer. Les autorités de certification commerciales ne sont pas si mal que ça, après tout on peut attendre d'elles un réel sérieux à la fois dans la protection de leur commerce et par la pression exercée par leurs gros clients... Pour ce qui est du commerce en ligne, on pourrait peut-être attendre de l'Europe que la signature de certificats fasse l'objet d'un service public européen dans le but de protéger les consommateurs et d'assurer une meilleure surveillance des sociétés commerciales. Sinon, un des gros problèmes actuels avec ces certificats numériques, c'est le contrôle des révocations (CRL / OCSP), même si on n'en parle pratiquement jamais. Je lis dans le fichier pastebin attribué au hacker :
What you did affected Iranian users, you attacked Iranian people, etc. etc. etc. bla bla bla
First of all people against Iranian government or Islam, even if they live inside Iran, we can't count them as Iranian people, I can't! If they get power to harm Islam and Iranian government, spying for foreign spying agencies (Mossad, CIA, MI6), they won't miss it. If they get paid from a foreign secret service, they can gather and send ANY information THEY CAN. These are not people of Iran, these type of people was my target, not normal people, people who don't have anything to do with secret services, Iran's enemies, Islam's enemies, etc. Il s'agit donc d'un type qui est très fier d'avoir hacké et par là même probablement mis en danger la vie de personnes qui se battent contre la dictature iranienne, contre l'extrémisme religieux de l'état, et donc pour la liberté d'expression et de culte, en s'appuyant sur des services secrets étrangers ? "Ils sont les ennemis de l'Iran ?". Sont-ce des traîtres parce qu'ils font appel à des forces externes pour trouver une solution afin de sortir de l'obscurantisme ? Non mais soit ce type est le dernier des abrutis, soit il s'agit d'une action menée par les services secrets iraniens eux-mêmes, qui tentent de contrôler le net. Ou bien les deux. Sérieusement, du point de vue de l'informatique, la découverte de failles est toujours un bénéfice puisqu'elle aide à renforcer la sécurité a posteriori. Mais du point de vue politique, cette action est un désastre qui pourrait coûter des vies. Croux, le 09/09/2011 - 22:33
Les autorités de certification commerciales ne sont pas si mal que ça, après tout on peut attendre d'elles un réel sérieux à la fois dans la protection de leur commerce et par la pression exercée par leurs gros clients... Pour ce qui est du commerce en ligne, on pourrait peut-être attendre de l'Europe que la signature de certificats fasse l'objet d'un service public européen dans le but de protéger les consommateurs et d'assurer une meilleure surveillance des sociétés commerciales. Sinon, un des gros problèmes actuels avec ces certificats numériques, c'est le contrôle des révocations (CRL / OCSP), même si on n'en parle pratiquement jamais. *tousse* Lis voir l'article de Sebsauvage que j'ai ajouté à mon commentaire, tu comprendras très vite pourquoi on ne peut pas faire confiance aux certifications commerciales  Oui, le problème des délégations d'émissions de certificats. L'idée d'un bureau d'enregistrement européen de certificats SSL, ça me plait bien. A voir si c'est dans les cordes d'EURid. Mais en attendant il y a un putain de bras de fer entre les gros sites qui veulent épargner tout message d'avertissement à leurs clients, les quelques root CA omniprésentes et les éditeurs de navigateurs web. Ah, si tout le monde pouvait utiliser un certificat auto-signé dont le hash serait confirmé pour le nom de domaine par un réseau indépendant et non-commercial.. Croux, le 09/09/2011 - 22:33
L'idéal c'est donc que l'internaute puisse lui-même spécifier s'il veut accorder sa confiance à telle ou telle autorité de certification, ou non.
Il n'a qu'à le faire, ou même ne pas le faire en n'acceptant que les certificats des sites sur lesquels il se rend. Il lui suffit d'agir, même si c'est souvent là que ça coince. |
A LA UNE
LES + COMMENTÉS
 Télécharger
bittorrent emule island,
windows 8,
cryptage emule islande,
nettoyeurs emule islande,
msn messenger,
logiciel 2010,
avast,
amapi 3d 415,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Lors d'une navigation sécurisée en SSL, Mozilla, via Firefox et Thunderbird, est le dernier garant de cette sécurité auprès de ses utilisateurs. Cette sécurité a été mise à mal ces derniers jours avec l'attaque des fournisseurs de certificats SSL que sont DigiNotar, GlobalSign, StartCom et Comodo. 
![eMule 0.47a [RoadRunner]](http://images.numerama.com/img/s/t6871-35-37-emule-047a-roadrunner.gif)
![eMule 0.49c [X-Ray]](http://images.numerama.com/img/s/t7731-35-37-emule-049c-x-ray.jpg)
