De faux certificats trop souvent à la base de connexions « sécurisées »

De faux certificats trop souvent à la base de connexions « sécurisées »

L'homme du milieu

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

12/05/2014
41

De faux certificats trop souvent à la base de connexions « sécurisées »

Une étude, réalisée par plusieurs chercheurs, se penche sur les certificats électroniques falsifiés et montre qu’une partie des connexions « sécurisées » ne le sont en fait pas nécessairement. Si le problème est pour l’instant de faible importance, il pourrait très facilement grandir au cours des prochaines années car il permet à des intermédiaires de se faire passer pour d'authentiques sources de données.

Un échange SSL sans certificat côté client

Le certificat de sécurité, un mécanisme régulièrement remis en cause 

Le certificat électronique d’un site web répond à une problématique simple : il permet de présenter au navigateur une véritable carte d’identité qui prouve à l’utilisateur qu’il est bien ce qu’il prétend être. Une volonté d’identification qui répond au besoin impérieux de faire la différence entre des sites légitimes, appartenant à des sociétés réelles, et d’autres, frauduleux, conçus exclusivement pour soutirer des données et/ou de l’argent aux internautes.

 

Aucun système n’étant parfait, celui des certificats électroniques contient son propre lot de problèmes. Le principal tient à l’émetteur du certificat : il est loin d’être unique. Des centaines de sociétés peuvent en émettre et sont elles-mêmes autant de vecteurs d’attaques. L’illustration parfaite de ce problème est l’année 2011, marquée par les affaires DigiNotar et Comodo, deux entreprises piratées et dont des centaines de certificats avaient été volés. Des certificats qui avaient pu par la suite être utilisés pour authentifier des sites web frauduleux et malveillants.

0,2 % des connexions feraient appel à de faux certificats 

Cela étant, voler d’authentiques certificats n’est pas la seule manière pour un site malveillant d’être reconnu comme parfaitement légitime. Il existe en effet la possibilité pour que des développeurs, malintentionnés ou pas d’ailleurs, créent leurs propres certificats, qui seront reconnus comme valides. C’est précisément sur ce type de cas que s’est penchée une étude réalisée par plusieurs chercheurs de l’université Carnegie Mellon et de Facebook.

 

Cette étude s’est notamment intéressée aux connexions réalisées à Facebook au travers des protocoles SSL et TLS et a trouvé un chiffre intéressant. Ainsi, sur les 3,45 millions de connexions analysées, 6 845 étaient établies au moyen de certificats falsifiés. Un score qui peut paraître faible, mais les chercheurs indiquent qu’un taux de 0,2 % est déjà élevé. Pourtant, même si l’on parle de faux certificats, les sources ne sont pas nécessairement malveillantes.

Les éditeurs d'antivirus en créent pour leurs propres besoins...

Selon l’étude, 2 682 certificats ont été créés par BitDefender, l’entreprise qui commercialise les solutions de sécurité du même nom. Ces dernières incorporent notamment une fonctionnalité permettant de scanner les connexions SSL pour y détecter d’éventuelles menaces. Même chose pour l’éditeur ESET (1 722 certificats), connu pour ses produits NOD32 qui proposent également ce type de capacité. Idem pour d’autres revendeurs, tels que le célèbre Kaspersky. Les chercheurs pensent que ces éditeurs ont recours à cette solution pour contourner les erreurs de sécurité que les navigateurs pourraient générer durant l’analyse des connexions SSL. Ils précisent par ailleurs que cette fonctionnalité est optionnelle et que le nombre de faux certificats pourrait donc grimper en flèche si elle devait être activée par défaut.

 

Mais même si la grande majorité des faux sont en fait des certificats auto-signés créés par des entreprises de sécurité pour des besoins propres, le danger reste présent. On peut envisager par exemple le même cas que pour Comodo ou DigiNotar, c’est-à-dire une attaque visant à dérober des certificats. Les machines des utilisateurs pourraient être également attaquées pour dérober les clés privées de ces certificats, ce qui pourrait alors conduire à l’espionnage direct des connexions SSL. Les chercheurs abordent même l’hypothèse d’un ou plusieurs gouvernements qui obligeraient les éditeurs d’antivirus à fournir ces clés.

... tout comme les adwares et les logiciels malveillants 

Bien entendu, au sein de ces résultats, il existe des catégories moins reluisantes. Par exemple, 330 certificats proviennent de Sendori, une entreprise qui propose des extensions pour les navigateurs dans le but d’aider l’utilisateur à corriger automatiquement les adresses qui auraient été mal écrites dans la barre du navigateur. Dans la pratique, il s’agit ni plus ni plus que d’un adware qui court-circuite les entrées DNS pour y placer des contenus publicitaires.

 

 

Plus inquiétant que la catégorie des adwares, celle des malwares, qui comporte une évidente capacité de nuisance. Les chercheurs ont ainsi trouvé à plusieurs reprises un émetteur de certificats nommé « IopFailZeroAccessCreate », plusieurs portant quand même une étiquette « VeriSign Class 4 Public Primary CA. ». VeriSign a confirmé ne pas en être à l’origine et plusieurs recherches ont montré que ces certificats semblaient être à la source d’erreurs rencontrées par des utilisateurs, certaines discussions laissent penser qu’il s’agissait d’attaques de type « man-inthe-middle » (un intermédiaire se fait passer frauduleusement pour un tiers authentique). Selon Ryan Sleevi, développeur sur Chromium, ces faux certificats ont provoqué un nombre important de signalements de bugs.

 

Au final, même si une écrasante majorité des certificats a été créée par des entreprises de sécurité, la situation reste préoccupante. D’abord parce qu’elle implique que de telles entreprises peuvent justement créer de faux certificats en fonction de leurs besoins, ce qui représente une fêlure dans la philosophie même de l’identification numérique. Ensuite parce que les concepteurs de malwares sont capables d’en faire autant et que la situation est d’autant démultipliée que les connexions établies chaque jour se comptent en milliards, comme le signalent justement nos confrères d'Ars Technica.

Les sites populaires encouragés à se mettre à la page 

Mais l’objectif général de l’étude n’est pas de jeter l’opprobre sur le système des certificats : elle devait montrer non seulement qu’une partie des connexions sécurisées ne l’est en fait pas et qu’il est possible de détecter les attaques de type « man-in-the-middle ». La méthode utilisée par les chercheurs est d’ailleurs décrite et passe par l’utilisation d’un code Flash placé sur un serveur. Les chercheurs enjoignent en outre les sites populaires et les applications mobiles à déployer des techniques similaires, mais également à renforcer leurs défenses, des exemples étant donnés sur les pages 12 et 13.

 

Cependant, même si les chercheurs ont visé essentiellement les faits et les résultats bruts, on ne peut s’empêcher d’y détecter une fois de plus une remise en cause des certificats électroniques. Il est difficile en effet de croire à l’authenticité d’un site ou à la sécurité d’une connexion si les précieux sésames peuvent être recréés ou dérobés. Le système peut se révéler d’autant plus fragile que les émetteurs peuvent être attaqués directement ou qu’une faille unique, en l’occurrence HeartBleed, peut rendre caduque d’une seule traite des centaines de milliers de certificats.

41

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le certificat de sécurité, un mécanisme régulièrement remis en cause 

0,2 % des connexions feraient appel à de faux certificats 

Les éditeurs d'antivirus en créent pour leurs propres besoins...

... tout comme les adwares et les logiciels malveillants 

Les sites populaires encouragés à se mettre à la page 

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (41)


Le 12/05/2014 à 16h 15

firefox sur NextInpact : “ce site ne fournit aucune information concernant son identité”…



paille/poutre, cordonnier/chaussures … toussa <img data-src=" />


Le 12/05/2014 à 16h 15



L’homme du milieu





Ça ne concerne qu’une infime partie des users, étant donné que le reste est considéré comme la basse-classe Française, ou plutôt Mondiale…



Ok ! ——&gt; [ <img data-src=" /> ]



<img data-src=" />


cyrano2 Abonné
Le 12/05/2014 à 16h 26

Il ne reste plus qu’à rendre “DNS sec” facile à utiliser : mettre le certificat à coté de l’IP dans le DNS.


Le 12/05/2014 à 16h 29







picatrix a écrit :



firefox sur NextInpact : “ce site ne fournit aucune information concernant son identité”…



paille/poutre, cordonnier/chaussures … toussa <img data-src=" />





PCI a une approche nihiliste: “de toute façon, les certificats sont trop faciles à falsifier, donc on n’en met pas” <img data-src=" />



Le 12/05/2014 à 16h 38

En même temp c’est trop galère a faire un vrai certificat !

Je me souvient même plus comment j’ai fait quand j’ai mis en plaçe ma seedbox mais je crois que j’ai fait un certificat auto signé


John Shaft Abonné
Le 12/05/2014 à 16h 40

Un bon plugin pour éviter de se faire avoir pour FireFox : Perspectives, qui scrute les sites via un système de “notaires”.



Pas infaillible, mais pas mal


fred42 Abonné
Le 12/05/2014 à 17h 45

Comme je ne comprenais rien à l’article, j’ai lu l’étude fournie en lien (pour l’instant l’introduction).



J’ai compris pourquoi je ne comprenais rien à l’article.

C’est lié à l’utilisation de l’expression “faux certificats” qui ne veut pas dire grand chose.

L’étude parle de forged SSL certificates et c’est plus clair.

Ils expliquent que ces certificats ne sont pas émis par des CA de confiance. Ce sont souvent des certificats auto-signés.



Il n’y a donc rien de grave puisque les navigateurs signalent que le certificat n’est pas valable et que c’est l’utilisateur qui passe outre ces avertissements (éventuellement sans comprendre et là, il peut effectivement y avoir un problème).



Bref, je ne comprends pas bien l’intérêt de cette information, et le chiffre de 0,2 % semble confirmer qu’il n’y a pas vraiment de problème.



Cela d’autant plus que dans la majorité des cas, il s’agit de solutions de sécurité mises en place dans des entreprises pour pouvoir étudier le contenu des flux SSL.

Ils envisagent l’hypothèse des certificats qui seraient utilisés par des gouvernements et signés par des CA de confiance pour écouter les communications. Rien de nouveau sous le soleil, là non plus.



J’ai aussi lu la partie IV de l’étude qui décrit différents types de certificats forgés.

Il y a bien confirmation que les cas sont :




  • solution de sécurité (antivirus, “firewall” (terme pas vraiment correct puisque le but est soit de détecter des malwares soit de faire de la restriction d’accès par proxy), contrôle parentaux). Dans ces cas, il y a souvent un certificat de CA qui est installé dans les navigateurs afin d’accepter les certificats forgés sans prévenir l’utilisateur).



  • Adware et malware : là, ils parlent d’un risque potentiel si ces malwares pouvaient installer un CA dans le navigateur parce que dans ce cas, il n’y aurait plus d’avertissement vers l’utilisateur.



    À partir du moment où l’utilisateur est informé que la communication n’est pas sûre, il n’y a rien de grave, je trouve et surtout rien qui justifie une techno à base de flash pour détecter ce type de problème.



    Bon, je vais lire quand même les autres parties de l’étude …


Le 12/05/2014 à 17h 58

En parlant de certificat, j’ai une question pour les spécialistes:



Depuis quelques jours, lorsque j’atterris sur certains sites (betaseries notamment), EMET m’affiche la notification suivante (sous IE11 seulement)

“EMET detected that the SSL certificate for “twietter.com” is not trusted by the rule “TwitterCA” associated with the domain “twitter.com”



Je n’ai pas trouvé grand chose sur le net là-dessus, donc si quelqu’un pouvait éclaire ma lanterne, même si cela n’a pas l’air inquiétant.


Le 12/05/2014 à 18h 26

La notion de “faux certificat” n’est pas évidente. Est-ce que cela comprend les certificats auto-signés ? Les certificats signés par des autorités de certification valides mais non reconnues par les navigateurs grand public ?



Tout ça n’est qu’un grand “cercle de confiance” autour du business des autorités de certification.



Quand je veux un certificat SSL pour ma dedibox, j’ai pas forcément les moyens d’acheter la confiance de mes utilisateurs, je vais donc créer une autorité de certification que j’utiliserai pour signer mon propre certificat. Les utilisateurs qui n’auront pas fait explicitement confiance à mon AC verront leur navigateur hurler à la tentative de phising/MITM, alors qu’il n’en est rien ; mon certificat n’est pas un “faux certificat”, juste un certificat du pauvre. :)


Creer SA proper CA pour signer son propre self-signed nr sert a rien. Autant utiliser directement un self-signed


zefling Abonné
Le 12/05/2014 à 19h 02

Perso, j’ai pas les moyens de payer un certificat, et quand je l’auto-sign j’ai le droit à un beau message dissuasif. Ça donne vraiment les moyens à tous de se protéger… <img data-src=" />


fred42 Abonné
Le 12/05/2014 à 19h 09







ThomasL a écrit :



La notion de “faux certificat” n’est pas évidente. Est-ce que cela comprend les certificats auto-signés ? Les certificats signés par des autorités de certification valides mais non reconnues par les navigateurs grand public ?





Voir mon message (2 plus haut que celui auquel je réponds) qui s’appuie sur la lecture de l’étude.

J’ai aussi trouvé que le terme “faux certificat” de l’article était mal choisi.



D’ailleurs, quand il est écrit :



Il existe en effet la possibilité pour que des développeurs, malintentionnés ou pas d’ailleurs, créent leurs propres certificats, qui seront reconnus comme valides



cela est réducteur par rapport à l’étude.

L’étude identifie des cas où ces certificats seront reconnus valides mais aussi des cas où ils sont détectés et signalés invalides mais que l’utilisateur a passé outre l’avertissement. Les cas où ils sont détectés valides sont pour la plupart légitimes : solutions diverses de sécurité cités dans mon premier message.



Pour moi, les cas de malware sur la machine cliente sont à part parce dans ce cas, la machine est compromise et on peut tout espionner (frappe clavier, affichage, …) donc faire un man in the middle depuis la machine cliente est un peu overkill. On n’est plus “in the middle” mais dans la machine.



SebGF Abonné
Le 12/05/2014 à 19h 13







zefling a écrit :



Perso, j’ai pas les moyens de payer un certificat, et quand je l’auto-sign j’ai le droit à un beau message dissuasif. Ça donne vraiment les moyens à tous de se protéger… <img data-src=" />







Ca coûte pas si cher en fait.



J’ai un domaine chez Gandi et ils proposent le certificat SSL avec, la première année c’est offert et après c’est 12€HT pour le renouvellement à l’année.

https://www.gandi.net/ssl



Par contre les tarifs montent vite en flèche dès que ça devient plus ciblé ou pro c’est clair !



Mais pour un particulier comme moi qui voulait passer tout son Kimsufi en SSL, ça revient au final à une trentaine à l’année pour le NDD+SSL.

(j’ai un KS à ~15€ chez OVH)



fred42 Abonné
Le 12/05/2014 à 19h 16

Je me rends compte que l’article a été complété depuis mon premier message ou pendant que je l’écrivais. Des précisions ont été apportées.



Ça serait bien de l’indiquer clairement comme cela est fait parfois afin que l’on voit bien la chronologie entre les commentaires et l’évolution de l’article !


fred42 Abonné
Le 12/05/2014 à 19h 19







SebGF a écrit :



Ca coûte pas si cher en fait.



J’ai un domaine chez Gandi et ils proposent le certificat SSL avec, la première année c’est offert et après c’est 12€HT pour le renouvellement à l’année.

https://www.gandi.net/ssl



Par contre les tarifs montent vite en flèche dès que ça devient plus ciblé ou pro c’est clair !



Mais pour un particulier comme moi qui voulait passer tout son Kimsufi en SSL, ça revient au final à une trentaine à l’année pour le NDD+SSL.

(j’ai un KS à ~15€ chez OVH)





Il est aussi possible d’utiliser un certificat gratuit de chez startssl https://www.startssl.com/?app=1 pour un site perso.



Le 12/05/2014 à 19h 30



Une volonté d’identification qui répond au besoin impérieux de faire la différence entre des sites légitimes, appartenant à des sociétés réelles, et d’autres, frauduleux, conçus exclusivement pour soutirer des données et/ou de l’argent aux internautes.



La formulation est malheureuse puisqu’elle fait penser au phishing. Il aurait été plus correct de dire qu’il s’agit de vérifier que l’intermédiaire est bien, par exemple, google.com et non pas quelqu’un interceptant la communication et se faisant passer pour google.com.



Pour reformuler un certificat stipule en substance la clé publique que google.com utilise pour débuter la discussion, ce qui permet de vérifier que celle-ci a été débutée avec la clé en question. Et ce certificat est lui-même signé par un système de clé publique/privé appartenant à une des autorités (CA) dont la clé publique est connue du navigateur.









Chloroplaste a écrit :



En parlant de certificat, j’ai une question pour les spécialistes:



Depuis quelques jours, lorsque j’atterris sur certains sites (betaseries notamment), EMET m’affiche la notification suivante (sous IE11 seulement)

“EMET detected that the SSL certificate for “twietter.com” is not trusted by the rule “TwitterCA” associated with the domain “twitter.com”





D’abord tu as écrit twiEtter et non pas twitter. Si ce n’est pas une erreur, tu es victime d’une tentative de phishing, point barre.



Si en revanche le message concerne bien twitter, soit tu as trafiqué quelque chose dans les paramètres du navigateur (ou de l’ordinateur : horloge à jour ?), soit quelqu’un ou quelque chose écoute tes communications SSL. Il peut s’agit d’un anti-virus mais normalement celui-ci s’est enregistré auprès du navigateur et il n’y a pas de raison que tu ne reçoives de messages que maintenant. Ou il peut s’agit de quelque chose d’autre.



Personne ne peut te dire de quoi il s’agit exactement. Mais ça sent le gaz.



SebGF Abonné
Le 12/05/2014 à 19h 31







fred42 a écrit :



Il est aussi possible d’utiliser un certificat gratuit de chez startssl https://www.startssl.com/?app=1 pour un site perso.







Oui je connais aussi, mais vu qu’ils demandaient des données persos réelles pour le compte, j’ai préféré éviter de payer avec cette monnaie là.



John Shaft Abonné
Le 12/05/2014 à 19h 49







SebGF a écrit :



Oui je connais aussi, mais vu qu’ils demandaient des données persos réelles pour le compte, j’ai préféré éviter de payer avec cette monnaie là.







CACert sinon, ce sont des gens bien.



Ensuite, y a pas de mystères : pour construire un web de confiance, il faut cracher de la données perso au bout d’un moment <img data-src=" />



Le 12/05/2014 à 19h 50







fred42 a écrit :





J’ai compris pourquoi je ne comprenais rien à l’article.

C’est lié à l’utilisation de l’expression “faux certificats” qui ne veut pas dire grand chose.

L’étude parle de forged SSL certificates et c’est plus clair.

Ils expliquent que ces certificats ne sont pas émis par des CA de confiance. Ce sont souvent des certificats auto-signés.



Il n’y a donc rien de grave puisque les navigateurs signalent que le certificat n’est pas valable et que c’est l’utilisateur qui passe outre ces avertissements (éventuellement sans comprendre et là, il peut effectivement y avoir un problème).



Bref, je ne comprends pas bien l’intérêt de cette information, et le chiffre de 0,2 % semble confirmer qu’il n’y a pas vraiment de problème.









Cette étude est du pure bullshit de toute manière. Seul des entreprise peuvent se permettre de raquer 200-300e pour un certificat signé. Et même signé des certificats forgés peuvent être émit.

La meilleur solution en vrai c’est d’utilisé les deux putains d’orifices avec lesquels ont né pour la plus part. J’ai plus confiance dans un certificat dit “self signed” d’un site que je connais, qu’un site inconnu avec un certificat authentique qui a été signer par on ne sait trop qui.



Un bon vieux certificat signé sois même sur 4096bit en TLS1.2 avec changement tout les 2-3mois, il n’y a que ça de vrai.



zefling Abonné
Le 12/05/2014 à 19h 52







SebGF a écrit :



Ca coûte pas si cher en fait.



J’ai un domaine chez Gandi et ils proposent le certificat SSL avec, la première année c’est offert et après c’est 12€HT pour le renouvellement à l’année.

https://www.gandi.net/ssl



Par contre les tarifs montent vite en flèche dès que ça devient plus ciblé ou pro c’est clair !



Mais pour un particulier comme moi qui voulait passer tout son Kimsufi en SSL, ça revient au final à une trentaine à l’année pour le NDD+SSL.

(j’ai un KS à ~15€ chez OVH)







J’ai 8 noms de domaines, ça comment à faire à 12 € le nom de domaine et encore j’ai aussi les sous-domaines. Je trouvé déjà que les domaines c’est limites de l’arnaque, alors si faut payer encore 2× leur prix…



Le 12/05/2014 à 19h 56







John Shaft a écrit :



CACert sinon, ce sont des gens bien.



Ensuite, y a pas de mystères : pour construire un web de confiance, il faut cracher de la données perso au bout d’un moment <img data-src=" />







A mon humble avis, le projet CACert est mort. Son auteur originel est partie. La certification pour en faire une vrai autorité reconnu à échoué. EN même temps, comment voulez vous que dans ce monde ou des entreprise paient 200-300€ pour des certificats, ceux-ci soit d’un seul coup gratos ?! OMG. Les lobbys de taré qu’il doit y avoir, … j’imagine pas.



Le vrai problème, ce n’est pas les certificats. Le problème c’est que ceux-ci coûtent bien trop cher. Et que par méconnaissance et manque de moyen, certain petit site n’utilise pas de chiffrement SSL/TLS pour des transaction bancaire, authentification et j’en passe.

Ces gens veulent améliorer la sécurité ?! Rendez les certifications par autorité bien moins cher. Un nom de domaine coute 12€, un certificat SSL devrait couter le même prix pour du multi domaine (*.domaine.xyz).



Le 12/05/2014 à 19h 58







zefling a écrit :



J’ai 8 noms de domaines, ça comment à faire à 12 € le nom de domaine et encore j’ai aussi les sous-domaines. Je trouvé déjà que les domaines c’est limites de l’arnaque, alors si faut payer encore 2× leur prix…







Exactement, du multi domaine *.domaine.xyz, les prix sont juste abusif et prohibitif. Même un simple formulaire devrait être poster sous SSL/TLS. Comme je le dit dans mon précédant poste, si le but du secteur c’était vraiment la sécurité et non le pognon, les certificats multi domaine couteraient une pacotille.



Edit: Surtout que je le rappel, il est conseillé d’avoir un certificat différent pour chaque type de service. Https, smtps, imaps, ssh, pops, mysqls, … Genre les types croient qu’on va payer 8 certificats pour des machines dédié et publique…



Le 12/05/2014 à 20h 00







HarmattanBlow a écrit :



D’abord tu as écrit twiEtter et non pas twitter. Si ce n’est pas une erreur, tu es victime d’une tentative de phishing, point barre.



Si en revanche le message concerne bien twitter, soit tu as trafiqué quelque chose dans les paramètres du navigateur (ou de l’ordinateur : horloge à jour ?), soit quelqu’un ou quelque chose écoute tes communications SSL. Il peut s’agit d’un anti-virus mais normalement celui-ci s’est enregistré auprès du navigateur et il n’y a pas de raison que tu ne reçoives de messages que maintenant. Ou il peut s’agit de quelque chose d’autre.



Personne ne peut te dire de quoi il s’agit exactement. Mais ça sent le gaz.







Pour twietter, il s’agit bien d’une faute de frappe de ma part.

Ce qui m’étonne, c’est que cette notification n’apparaît que sur des sites (betaseries, figaro, coinmarketcap) où mon compte twitter n’est en rien associé. Je ne suis d’ailleurs même pas authentifié sur le site en-lui même.

A part, l’installation récente de Emet, je n’ai rien fait de particulier.

Je ne reçois les notifications que récemment car Emet n’était pas installé il y a de ça 2 semaines.

Mon antivirus est MS essentials.

Tu me fais peur d’un coup là <img data-src=" />



Le 12/05/2014 à 20h 03







fred42 a écrit :



Il est aussi possible d’utiliser un certificat gratuit de chez startssl https://www.startssl.com/?app=1 pour un site perso.











SebGF a écrit :



Oui je connais aussi, mais vu qu’ils demandaient des données persos réelles pour le compte, j’ai préféré éviter de payer avec cette monnaie là.







N’allez surtout pas sur ce site, c’est une putain d’escroquerie. Il facture le renouvellement et vous soule a mort pour que vous le fassiez. En attendant ils ont l’ensemble de vos coordonné et s’en servent à mon humble avis…

A éviter par dessus tout.



Le 12/05/2014 à 20h 08







Chloroplaste a écrit :



Ce qui m’étonne, c’est que cette notification n’apparaît que sur des sites (betaseries, figaro, coinmarketcap) où mon compte twitter n’est en rien associé. Je ne suis d’ailleurs même pas authentifié sur le site en-lui même.





Parce que tous ces sites exposent un fil twitter, que celui-ci doit te proposer de t’enregistrer ou cherche à rapatrier des infos persos sur ton compte via une connexion SSL.





A part, l’installation récente de Emet, je n’ai rien fait de particulier.



Cela dit ça pourrait être une embrouille entre ton antivirus et Emet : l’un remplacerait le certificat pour intercepter ta connexion afin de la scanner, l’autre détecterait cette substitution. Comique mais vraisemblable.



Emet ne fournit pas de détails sur le certificat en question ? Une clé que tu pourrais chercher sur le net par exemple ? Sinon on doit pouvoir dégoter cette info sous le navigateur (va sur twitter, clic droit, infos sur la page avec firefox). Ou vérifier dans l’UI de l’AV.



Le 12/05/2014 à 23h 26







Chloroplaste a écrit :



Pour twietter, il s’agit bien d’une faute de frappe de ma part.

Ce qui m’étonne, c’est que cette notification n’apparaît que sur des sites (betaseries, figaro, coinmarketcap) où mon compte twitter n’est en rien associé. Je ne suis d’ailleurs même pas authentifié sur le site en-lui même.

A part, l’installation récente de Emet, je n’ai rien fait de particulier.

Je ne reçois les notifications que récemment car Emet n’était pas installé il y a de ça 2 semaines.

Mon antivirus est MS essentials.

Tu me fais peur d’un coup là <img data-src=" />







En même temps, si ton antivirus est MS essentials, oui, tu peux avoir peur hein…<img data-src=" />



SebGF Abonné
Le 13/05/2014 à 04h 50







Mastah a écrit :



N’allez surtout pas sur ce site, c’est une putain d’escroquerie. Il facture le renouvellement et vous soule a mort pour que vous le fassiez. En attendant ils ont l’ensemble de vos coordonné et s’en servent à mon humble avis…

A éviter par dessus tout.







Bien fait de m’en méfier. Tfaçon à partir d’un moment, je considère qu’il vaut mieux s’adresser à quelqu’un qu’on connait et de confiance, quitte à mettre la main au porte monnaie (j’ai un NDD chez Gandi depuis plusieurs années) plutôt qu’un qui promet la lune pour rien et dont on ne sait ce qu’il va faire avec ce qu’on lui donne.

Mais bon, c’est vrai que c’est dommage que l’émission de certificats soit vite coûteuse… mais comme c’est un marché qui vise plus les entreprises que les particuliers, ils se régalent avec.



Ne2l Abonné
Le 13/05/2014 à 05h 06







lain a écrit :



En même temp c’est trop galère a faire un vrai certificat !

Je me souvient même plus comment j’ai fait quand j’ai mis en plaçe ma seedbox mais je crois que j’ai fait un certificat auto signé







C’est surtout que les certificats non-auto-signés coûtent un bras. C’est carrément du vol…



Le 13/05/2014 à 05h 55







divinechild a écrit :



En même temps, si ton antivirus est MS essentials, oui, tu peux avoir peur hein…<img data-src=" />





En même temps les AV ne servent plus à rien donc celui-ci ou un autre… Même Symantec le reconnaît.



De nos jours il y a deux types de menaces : les nouvelles que personne ne sait détecter, les anciennes qui s’appuient sur des failles de sécurité comblées depuis longtemps.



Oui, bon, je caricature un peu.



Le 13/05/2014 à 07h 22







Ne2l a écrit :



C’est surtout que les certificats non-auto-signés coûtent un bras. C’est carrément du vol…







Le principe se base sur la notion de tiers de confiance. Avec l’affaire RSA/NSA, ça veut surtout dire qu’il faut passer à autre chose.



Le 13/05/2014 à 07h 26







HarmattanBlow a écrit :



En même temps les AV ne servent plus à rien donc celui-ci ou un autre… Même Symantec le reconnaît.



De nos jours il y a deux types de menaces : les nouvelles que personne ne sait détecter, les anciennes qui s’appuient sur des failles de sécurité comblées depuis longtemps.



Oui, bon, je caricature un peu.







Non mais ce n’est pas parce que Symantec dis n’importe quoi dans sa “com” qu’il faut utiliser le pire des anti-virus du marché pour sa protection hein…<img data-src=" />



Le 13/05/2014 à 07h 42







divinechild a écrit :



Non mais ce n’est pas parce que Symantec dis n’importe quoi dans sa “com” qu’il faut utiliser le pire des anti-virus du marché pour sa protection hein…<img data-src=" />





Symantec n’a fait que dire quelque chose que beaucoup savent depuis longtemps. Que tu utilises le meilleur des AV ou aucun, le résultat a peu de chances d’être différent. Par contre tu peux être certain que ton ordinateur sera plus lent avec un AV.



A la rigueur ça conserve une valeur face aux utilisateurs idiots tentés de faire des trucs idiots et d’installer tout et n’importe quoi en filant des accès admins aux quatre vents. Parce que ces mecs ouvrent la voie à des malwares grossiers que les AV savent détecter.



spidy Abonné
Le 13/05/2014 à 08h 57







picatrix a écrit :



firefox sur NextInpact : “ce site ne fournit aucune information concernant son identité”…



paille/poutre, cordonnier/chaussures … toussa <img data-src=" />









kikoo25 a écrit :



PCI a une approche nihiliste: “de toute façon, les certificats sont trop faciles à falsifier, donc on n’en met pas” <img data-src=" />





https://www.nextinpact.com

<img data-src=" />







John Shaft a écrit :



CACert sinon, ce sont des gens bien.



Ensuite, y a pas de mystères : pour construire un web de confiance, il faut cracher de la données perso au bout d’un moment <img data-src=" />





CACert est aussi utile qu’un certificat auto-signé dans les navigateurs malheureusement.





Cette étude s’est notamment intéressée aux connexions réalisées à Facebook au travers des protocoles SSL et TLS et a trouvé un chiffre intéressant. Ainsi, sur les 3,45 millions de connexions analysées, 6 845 étaient établies au moyen de certificats falsifiés.



on peut m’expliquer comment c’est possible ? comment falsifier le certificat de facebook ?



Le 13/05/2014 à 09h 01







spidy a écrit :



https://www.nextinpact.com

<img data-src=" />





Ah tiens, c’est nouveau ça. Je crois me rappeller avoir essayé il y a pas si longtemps (du temps de pcinpact, quand même) et ça marchait pas



spidy Abonné
Le 13/05/2014 à 09h 06







kikoo25 a écrit :



Ah tiens, c’est nouveau ça. Je crois me rappeller avoir essayé il y a pas si longtemps (du temps de pcinpact, quand même) et ça marchait pas





je l’utilise depuis 6 mois, ça fonctionnait déja sur pci.

Sous FF je bloque le contenu non-sécurisé, je ne vois aucune différence <img data-src=" />



Le 13/05/2014 à 09h 14







spidy a écrit :



https://www.nextinpact.com

<img data-src=" />







Tu as raison c’est mieux :




  • on a toujours “ce site ne fournit aucune information sur son identité”

  • mais en plus “firefox a bloqué du contenu non sécurisé”

    <img data-src=" /> <img data-src=" /> <img data-src=" />



    tu en as d’autres comme ça ? <img data-src=" />



spidy Abonné
Le 13/05/2014 à 09h 41







picatrix a écrit :



Tu as raison c’est mieux :




  • on a toujours “ce site ne fournit aucune information sur son identité”

  • mais en plus “firefox a bloqué du contenu non sécurisé”

    <img data-src=" /> <img data-src=" /> <img data-src=" />



    tu en as d’autres comme ça ? <img data-src=" />





    n’importe quel site avec un certificat ssl qui n’est pas “avec vérification étendue” (le gros bandeau vert) a aussi le message “le propriétaire ce site web ne fournit aucune information sur son propriétaire”, google et facebook (pour ne citer qu’eux) utilisent ce genre de certificat qui coute moins cher, seules les banques et e-commerces utilisent les certificats “avec vérification étendue”.



    sur NXI, le full SSL est prévu mais pas encore finalisé.



Le 13/05/2014 à 10h 48







Mastah a écrit :



N’allez surtout pas sur ce site, c’est une putain d’escroquerie. Il facture le renouvellement et vous soule a mort pour que vous le fassiez. En attendant ils ont l’ensemble de vos coordonné et s’en servent à mon humble avis…

A éviter par dessus tout.







Pire, il te font payer (et c’est pas donné) la révocation de certificat…







picatrix a écrit :





  • mais en plus “firefox a bloqué du contenu non sécurisé”







    Normal : autant le site est sécurisé jusqu’à Cloudfare, autant certains éléments de la page ne sont pas gérés chez Cloudfare.

    Et comme le HTTPS n’aime pas les mélange (du HTTP dans une page HTTPS, ça ne passe pas ; alors que l’inverse, si), il gueule.









HarmattanBlow a écrit :



Symantec n’a fait que dire quelque chose que beaucoup savent depuis longtemps. Que tu utilises le meilleur des AV ou aucun, le résultat a peu de chances d’être différent. Par contre tu peux être certain que ton ordinateur sera plus lent avec un AV.



A la rigueur ça conserve une valeur face aux utilisateurs idiots tentés de faire des trucs idiots et d’installer tout et n’importe quoi en filant des accès admins aux quatre vents. Parce que ces mecs ouvrent la voie à des malwares grossiers que les AV savent détecter.





http://xkcd.com/272/



Le 13/05/2014 à 12h 30

“ce qui représente une fêlure dans la philosophie même de l’identification numérique.”



Y pas d’oeufs fêlés chez Lustucru !









Failure =! Fêlure =&gt; Failure = Échec



<img data-src=" />


Le 13/05/2014 à 15h 19







HarmattanBlow a écrit :



Cela dit ça pourrait être une embrouille entre ton antivirus et Emet : l’un remplacerait le certificat pour intercepter ta connexion afin de la scanner, l’autre détecterait cette substitution. Comique mais vraisemblable.



Emet ne fournit pas de détails sur le certificat en question ? Une clé que tu pourrais chercher sur le net par exemple ? Sinon on doit pouvoir dégoter cette info sous le navigateur (va sur twitter, clic droit, infos sur la page avec firefox). Ou vérifier dans l’UI de l’AV.







J’ai désactivé mon Antivirus mais les notifications EMET apparaissent toujours sur les sites ayant des fils twitter sous IE11

“EMET detected that the SSL certificate for “twitter.com” is not trusted by the rule “TwitterCA” associated with the domain “twitter.com”

Sous Firefox, aucune notification par contre.



Les notifications EMET ne me donnent accès à aucun détail complémentaire.

Après je ne suis pas un gros spécialiste en sécurité et ne voit pas quelles autres infos récupérer.



Note: il s’agit d’EMET 4.1