Connexion
Abonnez-vous

Let’s Encrypt : l’expiration d’un certificat racine fait la une

Let's Encrypt : l'expiration d'un certificat racine fait la une

Le 30 septembre 2021 à 07h43

Depuis l'année dernière, on sait que le projet gagne en indépendance et revoit sa chaîne de certification, étant désormais reconnu par de nombreux systèmes et navigateurs. Mais cela ne s'est pas fait sans heurts.

En effet, le certificat intermédiaire IRSG Root X1 – utilisé pour la création des certificats Let's Encrypt – tenait auparavant sa légitimité d'une signature croisée par le certificat racine DST Root CA X3 d'IdenTrust. Or, celui-ci arrive à expiration.

Ainsi, tous les vieux systèmes ne pourront plus le considérer comme légitime et ne reconnaîtront pas le certificat racine de Let's Encrypt s'ils n'ont pas été mis à jour. On pouvait craindre une « apocalypse », notamment avec Android et sa segmentation.

Heureusement, une solution avait été trouvée, IdenTrust ayant accepté de prolonger sa signature croisée jusqu'en 2024, acceptée par Android malgré l'expiration. Mais la date fatidique est désormais là : le 30 septembre.

Certains ont ainsi alerté sur les problèmes qui pourraient être rencontrés avec d'autres vieux appareils qui ne devraient plus pouvoir reconnaître les certificats Let's Encrypt parce qu'ils n'ont pas été mis à jour depuis des années. Des articles ont alors été publiés évoquant des appareils endommagés ou coupés d'Internet. Rien que ça.

Il n'en est rien. D'abord parce que les cas devraient être très limités et ne toucher que des appareils qui doivent rencontrer bien d'autres problèmes du fait de leur vétusté logicielle. Ensuite parce qu'une simple erreur sera affichée et pourra être outrepassée. Sans parler des solutions alternatives, par exemple utiliser Firefox, qui dispose de ses propres certificats racines à jour.

Cela nous rappelle néanmoins que le manque de suivi sur le long terme des mises à jour des systèmes peut avoir de vrais impacts et que l'obsolescence logicielle est une réalité qui doit être combattue.

Le 30 septembre 2021 à 07h43

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

et oui il fallait savoir lire la liste des périphériques touchés, encore un mec qui a crié au loup.

votre avatar

Un Firefox à jour fonctionne sur un Android 3 ?? Ou sur un Windows XP en 32bits??



Après comme le dit l’article, les gens vont cliquer ignorer l’alerte.

votre avatar

C’est gens là doit avoir la moitié du web qui ne fonctionne pas.
Plus aucune mise à jour logiciel depuis des années pour aucun logiciel.

votre avatar

(quote:0:Next Inpact)
D’abord parce que les cas devraient être très limités et ne toucher que des appareils qui doivent rencontrer bien d’autres problèmes du fait de leur vétusté logicielle.


Le principe de croire systématiquement que tous les appareils connectés (et parfois même aussi ceux non connectés) deviennent inutilisable dans le temps s’ils ne sont pas mis à jour, comme si le code s’usait avec le temps ou que les protocoles n’avait qu’une durée de vie de quelques années… C’est grandement dépendant du type d’appareil et de son interaction avec le monde.




Ensuite parce qu’une simple erreur sera affichée et pourra être outrepassée.


Déjà les navigateurs découragent très fortement cette option tout en la rendant difficile à repérer. Et nombre d’appareils autres que faisant tourner un navigateur généraliste non verrouillé sur OS mobile ne proposent pas ce choix et choisiront seuls de passer outre ou de refuser, il n’y a pas que des navigateurs qui utilisent les certificats SSL.




Sans parler des solutions alternatives, par exemple utiliser Firefox, qui dispose de ses propres certificats racines à jour.


Même chose qu’au-dessus, sauf que ça limite encore plus aux appareils où on peut changer le navigateur.



Bref, ce bilan me semble largement optimiste et principalement tourné vers les smartphones et tablettes Android en oubliant le reste, et ressemble plutôt à un “y a pas le choix de toute façon”.

votre avatar

On ne peut pas mettre à jour les certificats racines sur Android ?

votre avatar

Si c’est possible mais c’est une misère monstrueuse qui n’est pas à la portée du grand public.

votre avatar

Si, il est possible d’en importer avec des MDM (on utilise Sophos Mobile Control), donc il doit être probablement possible de le faire autrement ^^

votre avatar

Soriatane a dit:


Un Firefox à jour fonctionne sur un Android 3 ?? Ou sur un Windows XP en 32bits??


Sur Android 3 je ne sais pas, il faut voir les prérequis d’installation de Firefox, mais s’il accepte de s’installer, il doit marcher oui.



Sur Windows XP 32 bits c’est sûr que ça marche.




zefling a dit:


C’est gens là doit avoir la moitié du web qui ne fonctionne pas. Plus aucune mise à jour logiciel depuis des années pour aucun logiciel.


Bien sûr, Ethernet, IP et TCP ont totalement changé depuis Windows XP, et le code de Windows XP est bio-dégradable, il n’y a donc aucune chance que ça marche encore… Surtout que le navigateur, le seul qui a réellement besoin d’être à jour pour afficher “la moitié du web”, reçoit lui toujours ses mises à jour.



D’ailleurs pourquoi “plus de mises à jour pour aucun logiciel” ? Y a que pour l’OS qu’il n’y en a plus.



Après ne me faîtes pas dire ce que je n’ai pas dit, je parle de fonctionnalité, pas de sécurité.

votre avatar

Si tu savais le nombre de DAB encore sous XP :D….

votre avatar

Inodemus a dit:


Après ne me faîtes pas dire ce que je n’ai pas dit, je parle de fonctionnalité, pas de sécurité.


:mdr:




Inodemus a dit:


Sur Android 3 je ne sais pas, il faut voir les prérequis d’installation de Firefox, mais s’il accepte de s’installer, il doit marcher oui.


Nécessite Android
5.0 ou version ultérieure

votre avatar

Inodemus a dit:


comme si le code s’usait avec le temps ou que les protocoles n’avait qu’une durée de vie de quelques années…


Les protocoles (de sécurité notamment) peuvent avoir une durée de vie variable, difficile à prédire. Actuellement, il y a la désactivation des protocoles TLS v1.1 et inférieur, qui empêchera un appareil non à jour de se connecter purement et simplement à un serveur qui ne communiquera qu’avec une version >= 1.2. C’est d’autant plus compliqué que parfois, la simple activation de TLS 1.3 peut empêcher les connexions avec une version inférieure (pas la faute au protocole cette fois, mais aux équipements intermédiaires qui peuvent avoir une implémentation foireuse de TLS, ce qui inclus, firewall, proxy, cache, …)



Il ne faut pas oublier non plus qu’on est dans une situation où certains protocoles peuvent être considérés comme obsolète, mais toujours utilisés (coucou SSLv3). Il a fallu une vingtaine d’année pour se débarrasser de SSLv3 à partir du moment où il a été considéré comme obsolète (et encore, débarrassé, je suis gentil, il y a toujours des équipements qui s’en servent). Il a fallu des attaques comme POODLE pour “forcer” l’abandon massif du protocole.



Après, on peut citer d’autres protocoles abandonnés car pas sûr, comme le RC4 ou encore le WEP. Des équipements qui les utilisent encore, cela existe malheureusement (il n’y a pas si longtemps, j’ai vu un switch 24P pas très cher ne proposer que du RC4 par exemple, donc connexion impossible à l’interface avec un navigateur récent).



Si demain une faille majeure est découverte dans TLSv1.2, cela ferait mal. Très mal :phiphi:

votre avatar

Alors quand je parle de durée de vie, je parle de durée de vie réellement constatée, puisque c’est ça qui fait que des anciens appareils continuent de fonctionner ou non, pas de durée de vie souhaitée par les développeurs des nouveaux protocoles.



L’exemple le plus parlant est l’IPv6, des vieux appareil ne le supportent pas, mais ils marchent toujours puisqu’actuellement aucun réseau ou site web n’a cessé de supporter IPv4, et c’est pas près de changer.

votre avatar

C’est faux côté sécurité : il y a régulièrement des dépréciations de protocoles : SSL 1/2/3, TLS 1.0, TLS 1.1 et bientôt TLS 1.2. Pareil pour le Wifi, peu de bornes proposent encore du WEP ou WPA1.

votre avatar

C’est d’ailleurs une problèmes pour les vieilles consoles portables plus à jour.




(reply:1903668:33A20158-2813-4F0D-9D4A-FD05E2C42E48)


Il faudrait vraiment pas avoir réalisé de sites dessus pour dit ça au premier degré. :transpi: :transpi: :transpi: :transpi:

votre avatar

Bien sûr, Ethernet, IP et TCP ont totalement changé depuis Windows XP, et le code de Windows XP est bio-dégradable, il n’y a donc aucune chance que ça marche encore… Surtout que le navigateur, le seul qui a réellement besoin d’être à jour pour afficher “la moitié du web”, reçoit lui toujours ses mises à jour.



D’ailleurs pourquoi “plus de mises à jour pour aucun logiciel” ? Y a que pour l’OS qu’il n’y en a plus.



Après ne me faîtes pas dire ce que je n’ai pas dit, je parle de fonctionnalité, pas de sécurité.


C’est exactement de quoi je parle.



Firefox ne build plus pour XP, ni Chrome.
De plus en plus de site abandonne le support complet de d’IE et s’oriente de plus en plus vers du JS moderne qui ne fonctionne plus sous XP. Même pour la vidéo AV1, WebP, APNG, sont des formats qui ne sont pas supportés.
Je suis à peu près sûr que mes sites fonctionnent mal sous Win XP rien que pour la mise en forme. Faire le support des version de navigateur qui ont plus de 5 ans c’est trop de boulot et trop compliqué à mettre en place.



Pour TCP-IP n’a pas changer, par contre, le web a bien changé.

votre avatar

zefling a dit:


Pour TCP-IP n’a pas changer, par contre, le web a bien changé.


Je sais qu’on n’est pas trolldredi, mais ceci est bien la preuve que Microsoft avait raison, il fallait rester sous IE6.

votre avatar

cela certaines implem même récentes sont impactées. Le plugin acme de pfSense pointe encore sur l’ancienne AC, il faut la supprimer et recréer ses certificats avec la nouvelle AC, sinon, c’est le drame.

votre avatar

(quote:article)
Il n’en est rien. D’abord parce que les cas devraient être très limités et ne toucher que des appareils qui doivent rencontrer bien d’autres problèmes du fait de leur vétusté logicielle. Ensuite parce qu’une simple erreur sera affichée et pourra être outrepassée. Sans parler des solutions alternatives, par exemple utiliser Firefox, qui dispose de ses propres certificats racines à jour.


Bah c’est encore mieux que ça… Le certificat sera toujours valide jusqu’en 2024 d’après ce que j’ai compris. Donc même pas d’erreur de TLS à outrepasser…

votre avatar

Inodemus a dit:


Le principe de croire systématiquement que tous les appareils connectés (et parfois même aussi ceux non connectés) deviennent inutilisable dans le temps s’ils ne sont pas mis à jour


Sauf que c’est malheureusement parfois le cas !



Exemple récemment avec la PS4 où Sony a du faire une mise à jour pour virer le blocage de la console en cas de pile vide :
arstechnica.com Ars Technica



Ou encore le coup de la mise à jour GPS (exemple pour l’IPhone):
support.apple.com Apple

votre avatar

maverick78 a dit:


C’est faux côté sécurité : il y a régulièrement des dépréciations de protocoles : SSL 1/2/3, TLS 1.0, TLS 1.1 et bientôt TLS 1.2. Pareil pour le Wifi, peu de bornes proposent encore du WEP ou WPA1.


Comme je ai dit, déprécié ne veut pas dire massivement non utilisé. C’est la réalité qui fait qu’un équipement fonctionne, pas le souhait des développeurs des nouveaux protocoles, voir ma remarque sur l’IPv6 plus haut.



Quant au WiFi WEP, il est toujours supporté par toutes les implémentations, tant côté borne que côté client, c’est juste que sur les box grand public, on force les gens à utiliser du WPA2 en supprimant le WEP de la liste (bonne chose ou pas, ce n’est pas le sujet). Mais l’implémentation est toujours là, tous les clients WiFi peuvent se connecter à du WEP, et n’importe quel routeur du commerce peut être configuré en borne WEP (hors peut-être les trucs très grand public pensé pour être très simple d’utilisation).




bilbonsacquet a dit:


Sauf que c’est malheureusement parfois le cas !


Tout à fait, tout est dans le parfois (ou souvent si tu veux) mais pas systématique. Présumer qu’un appareil connecté ancien ne fonctionne forcément plus est un raccourci bien trop rapide.

votre avatar

Inodemus a dit:


Tout à fait, tout est dans le parfois (ou souvent si tu veux) mais pas systématique. Présumer qu’un appareil connecté ancien ne fonctionne forcément plus est un raccourci bien trop rapide.


Pinaille autant que tu veux, mais même s’il continue à fonctionner (sur le plan technique : il s’allume), si tu ne peux plus rien faire avec parce qu’il ne peut plus accomplir sa raison d’être, il devient tout autant inutilisable dans la pratique que s’il avait grillé. Donc, bon…

votre avatar

En fait, les conséquences sont très concrètes y compris dans un environnement parfaitement à jour.



Le client nextcloud dernièrement mis à jour il y a moins d’une semaine me sort un gros message “certificat non fiable” pour mes certificats let’s encrypt alors que je suis sous Windows 10.



De qui se moquent-ils ?



Voici le message :




Le certificat de l’émetteur d’un certificat converti localement est introuvable
avec certificat ISRG Root X1
Organisation : Internet Security Research Group
Unité :
Pays : US
Empreinte (SHA-256):
6d:99:fb:26:5e:b1:c5:b3:74:47:65:fc:bc:64:8f:3c:d8:e1:bf:fa:fd:c4:c2:f9:9b:9d:47:cf:7f:f1:c2:4f
Empreinte (SHA-512): 7a:dc:2b:5f:11:e5:d1:2d:f7:ad:b6:ce:e9:5e:04:f7:ec:a7:14:40:4b:ff:58:84:9a:36:0b:91:0f:3a:fb:dc:37:23:5c:dd:99:e3:3b:4e:82:ef:ee:e1:6d:59:85:73:a4:e3:46:e0:a6:bd:c4:1f:70:b3:60:3c:6f:43:24:fa



Date de début de validité : mer. janv. 20 19:14:03 2021 GMT
Date d’expiration : lun. sept. 30 18:14:03 2024 GMT
Émetteur : DST Root CA X3
Organisation : Digital Signature Trust Co.
Unité :
Pays :


votre avatar

Avec quel navigateur sous Windows 10 ??

votre avatar

pas un navigateur,



“Le client nextcloud dernièrement mis à jour”



Un windows 10 20H2 a le certificat DST Root CA X3 actif et le donne à l’application nextcloud.

votre avatar

J’ai eu l’erreur aussi hier sur mon PC de jeux sous Winwin, mais en arrêtant/redémarrant le client elle est partie.

votre avatar

(reply:1904077:Der Weise)


Merci à tous pour vos réponses. J’ai trouvé une solution assez fun pour que le certificat ISRG Root X1 termine tout seul dans les autorités racines de confiance de windows 10.



La solution consiste simplement à se rendre à l’adresse suivante avec edge: https://helloworld.letsencrypt.org/



Le simple fait d’afficher le hello world de let’s encrypt fait que EDGE ajoute le certificat manquant.



Je n’y croyait pas hier quand cela a fonctionné sur ma machine windows principale. Je viens de tester sur une deuxième machine en prenant soin de rafraichir l’affichage de certmgr.msc à chaque étape.

votre avatar

Pareil sur mon PC à la maison. Ce n’est que le client Nextcloud sur Windows qui pose problème on dirait, car tout est OK sur l’application mobile Android ou en passant par l’interface web.



J’ai suivi plusieurs astuces, comme redémarrer le serveur, forcer le renouvellement des certificats, etc. mais rien n’y fait.



Une solution que je n’ai pas (encore) tentée est de virer manuellement le certificat DST Root CA X3 des certificats racines de Windows (dans certlm.msc -> Autorités de certification racines de confiance -> Certificats), de toute façon expiré…



Le plus drôle c’est que sur le Windows 10 du boulot, le client n’affiche aucune erreur ce matin. Ni hier d’ailleurs, mais uniquement à la maison hier soir.

votre avatar

C’est une solution qui fonctionne.

votre avatar

Pour info, l’équipe de NextCloud en est informée et un correctif est en cours : github.com GitHub

votre avatar

wanou a dit:


De qui se moquent-ils ?


Personne ne se moque, mais tu as raison : on devrait se moquer des incompétents purs consommateurs qui osent être exigeants sans chercher à faire partie de la solution.
Ça peut donner une leçon d’humilité, aux conséquences bénéfiques plus vastes que la résolution de tout problème particulier.

votre avatar

Concrètement, en quoi fais-tu partie de la solution en réagissant de la sorte avec un jugement à l’emporte pièce, creux et remplis à 100% de préjugés ?



Avec une machine parfaitement à jour le certificat racine de let’s encrypt devrait faire partie des certificats racine de confiance de la machine et ce n’est pas le cas.



Le tord ici ne vient ni de let’s encrypt ni de nextcloud mais de microsoft qui se moque bien du monde pour le coup, et je ne vois pas comment je vais aider microsoft.

votre avatar

(quote:1903779:Trit’)
Pinaille autant que tu veux, mais même s’il continue à fonctionner (sur le plan technique : il s’allume), si tu ne peux plus rien faire avec parce qu’il ne peut plus accomplir sa raison d’être, il devient tout autant inutilisable dans la pratique que s’il avait grillé. Donc, bon…


Je ne pinaille pas du tout, j’ai dit exactement l’inverse de ce que tu viens de dire. C’est toi qui pinaille sur la définition de fonctionner, c’est évident que je ne considère pas comme fonctionnel un appareil qui ne fait que s’allumer sans faire ce pour quoi il a été conçu.



Il y a des appareils connectés qui vieillissent bien, d’autres pas, ça dépend de tellement de choses qu’il est inexact de partir du principe qu’un vieil appareil ne foncionne forcément plus. Et por ne rien arranger, il y a aussi suivant les gens diverses définitions de connecté et diverses définitions de vieux.



J’ai même déjà vu des gens râler ici sur des appareils non connectés qui n’étaient plus mis à jour en disant qu’il fallait les changer du coup, c’est quand-même franchement pousser que de dire ça d’un appareil qui fait toujours la même chose que quand il a été acheté, juste parce qu’il ne fera jamais mieux. S’il ne fait pas ce qu’on veut, alors dans ce cas, pourquoi l’avoir acheté ?

votre avatar

Inodemus a dit:


Bref, ce bilan me semble largement optimiste et principalement tourné vers les smartphones et tablettes Android en oubliant le reste, et ressemble plutôt à un “y a pas le choix de toute façon”.


1- Les smartphones et téléphones impactés ont une version d’android/du navigateur d’une époque où l’on avait tendance à désactiver les tests de certificats
2-Les autres appareils sont dans le même cas. Je le vois avec quelques appareils connectés: au travers du proxy transparent, ils ne râlent pas que le certificat n’est pas le bon (exemple: centrale domotique)




fdorin a dit:


Actuellement, il y a la désactivation des protocoles TLS v1.1 et inférieur, qui empêchera un appareil non à jour de se connecter purement et simplement à un serveur qui ne communiquera qu’avec une version >= 1.2.


3-Exactement. Cette désactivation est infiniment plus lourde de conséquence.

votre avatar

Alors tout les certificats générés sur Terraform avec les providers Let’s Encrypt utilisent encore le root CA DST Root CA X3. Donc une grande partie des reverses proxy basés sur des containers (donc dans CA Bundle), ont générés des erreurs de trust à 16h01 cet après-midi.



Le cas c’est :
Terraform pour ACME
+
Ne pas avoir forcé le nouvelle chain de trust (possible depuis Mai)
+
Proxy L7 sans CA Bundle



Ce qui à mon avis a quand même dû générer des sueurs à certains endroits.

votre avatar

Ohhh j’apprend aujourd’hui que la fin du monde c’etait hier…..ça me fait le même effet que si Apophis nous avait frolé de tout prés (c’est à dire, aucun effet)

votre avatar

Évidemment, les conséquences ne sont pas les mêmes selon l’environnement dans lequel on est.



Mais pour travailler dans une société où la sécurité réseau est appliquée de façon rigoureuse (edit : où la chaine de certification doit être impeccable), nous avons bien eu des remontés de sites indisponibles et tout à fait bloqués, impossible de contourner en interne puisqu’il ne s’agissait pas d’un contrôle par le navigateur Internet.



Quelles que soient les raisons pour lesquelles ces choses arrivent, il est malheureux qu’elles arrivent. Tous ces outils pour penser la sécurité de l’usage d’internet, lorsqu’ils ne sont pas bien maintenus, impliquent l’adaptation des usagers vers des comportement à risque.



En tant que technicien helpdesk, face à des utilisateurs et utilisatrices bloqués à l’accès de certains sites ou services internet qu’ils utilisent pour leurs activités professionnelles, je n’ai eu d’autres choix que de les inviter à sortir du réseau entreprise et à contourner l’alerte de sécurité qu’ils rencontraient. Et cela apparaît comme une “solution” à des problèmes qu’ils jugeront similaires mais qui sont vraiment différents et leurs feront prendre des risques sur des sites frauduleux.

votre avatar

Apparemment il y a eu des soucis sur les Android avec du DoT, voir ici. Pour ceux qui veulent il y a un thread récap

votre avatar

Krogoth a dit:


Si tu savais le nombre de DAB encore sous XP :D….


Oui, et ce n’est pas un problème vu qu’ils ne sont qu’en réseau local.

votre avatar

Ce serait étonnant. Comment un DAB en dehors des locaux d’une banque fonctionnerait sinon ? (ex: dans un supermarché ou dans la rue).



Ils sont forcément reliés au réseau bancaire et ne peuvent donc pas se contenter d’un réseau local…

votre avatar

fdorin a dit:


Ce serait étonnant. Comment un DAB en dehors des locaux d’une banque fonctionnerait sinon ? (ex: dans un supermarché ou dans la rue).



Ils sont forcément reliés au réseau bancaire et ne peuvent donc pas se contenter d’un réseau local…


Rien d’étonnant, il est très improbable qu’un DAB ait un accès direct avec l’extérieur. Il est certainement en réseau local avec un serveur local, et ce serveur se charge de communiquer avec l’extérieur. Il y a même certainement bon nombre de serveurs intermédiaires avant de sortir du réseau de la banque, et ils peuvent tous être tenus à jour niveau sécurité sans avoir besoin de changer l’OS du DAB.



Pour le cas des DAB hors d’une agence bancaire, c’est pareil, il y a certainement un serveur local dans le bâtiment où se trouve le DAB (ou dans le DAB lui-même), serveur qui est connecté par VPN au reste du réseau de la banque qui l’a installé. C’est la même chose pour les terminaux carte bancaire, sauf que là le client VPN est dans le terminal. Tout ce qui passe ensuite par le VPN est à considérer comme étant en réseau local, c’est à ça que sert un VPN.

votre avatar

D’accord, donc tu ne sais absolument pas comment ça marche (tu ne fais que des supposition), mais tu es capable d’affirmer qu’ils ne sont qu’en local :reflechis:



Ce n’est pas comme si en 2014, les banques avaient payé Microsoft pour avoir un support prolongé pour Windows XP, justement car beaucoup trop des DAB en dépendait.

votre avatar

Ce qu’il veut dire, c’est que c’est probablement encapsulé, à minima dans du VPN qui est un réseau privé virtuel similaire à du local, et donc que les échanges se font de manières sécurisées (et non un simple API en clair…). Donc si connecté en VPN, il est possible pour la banque de contrôler le DAB a distance, comme sur un réseau local.



Pour info, les TPE fonctionnent ainsi, Internet+VPN, et sont même capable de fonctionner sur GPRS+VPN vu la quantité d’informations échangées, ils se connectent directement au GIE (Mastercard ou Visa) qui dispatch ensuite vers les banques concernées. Y’a même des TPE sur téléphone mobile avec lecteur de carte en bluetooth, et la… même pas de VPN! Ca communique par http avec certificat personnel.

votre avatar

th3squal a dit:


Ce qu’il veut dire, c’est que c’est probablement encapsulé, à minima dans du VPN qui est un réseau privé virtuel similaire à du local, et donc que les échanges se font de manières sécurisées (et non un simple API en clair…). Donc si connecté en VPN, il est possible pour la banque de contrôler le DAB a distance, comme sur un réseau local.


Le truc, c’est que le VPN n’est pas forcément chiffré. Bon ok, j’avoue qu’en pratique, je n’ai jamais vu un VPN sans chiffrement aujourd’hui, mais c’est théoriquement possible. Les protocoles PPP le permettent par exemple.



De plus, mettre en place un VPN n’est pas une garantie absolue. Un VPN donne accès à un réseau distant comme s’il était local. En fonction de la configuration (notamment du routage et des règles de pare-feu), il est possible d’avoir accès à plusieurs réseaux en même temps, dont le réseau internet. On peut donc être en VPN ET accessible de l’extérieur !



Enfin, une API peut tout à fait être sécurisée : chiffrement, avec authentification du client ET du serveur (on peut faire la totale).



Pour ma part, si je devais choisir, ce serait d’ailleurs par API je pense. Pour les raisons suivantes :




  • en cas de compromission du réseau de la banque, il serait beaucoup plus difficile d’agir sur le DAB à distance via une API que via VPN.

  • facilité de déploiement (une API REST par exemple, sur un HTTPS, c’est un port ouvert en standard)

  • pas de configuration à faire au niveau de la box ou autre (dépend uniquement de la connectivité, pas du type de connectivité). Certaines connexions VPN peuvent avoir du mal sur les connexions mobiles par exemple.

  • c’est le DAB uniquement qui peut initier les connexions quand nécessaire

  • facilité de révoquer les accès pour un DAB particulier (en cas de compromission par exemple)

  • limiter grandement les accès au “réseau local” depuis le DAB (notamment en cas de compromission).



Bien sur, cela présente aussi des inconvénients, notamment pour les mises à jour, où cela nécessiterait des développements un peu plus spécifique, mais c’est tout à fait faisable (et déjà fait pour ma part, mais pas sur un DAB !)



Après, je ne sais pas comment c’est implémenté aujourd’hui dans les DAB. VPN, API, ou autre, aucune idée !




Pour info, les TPE fonctionnent ainsi, Internet+VPN, et sont même capable de fonctionner sur GPRS+VPN vu la quantité d’informations échangées, ils se connectent directement au GIE (Mastercard ou Visa) qui dispatch ensuite vers les banques concernées. Y’a même des TPE sur téléphone mobile avec lecteur de carte en bluetooth, et la… même pas de VPN! Ca communique par http avec certificat personnel.


Je n’ai jamais dit qu’il ne pouvait pas fonctionner en mode VPN. Je dis juste que rien ne garanti que ce soit le seul et unique mode de fonctionnement. Ce qui est loin d’être le cas. Ce que tu confirmes d’ailleurs ;)

votre avatar

Nous disons donc la même chose différemment :chinois:



J’avoue que l’implémentation d’une API chiffrée avec une auth forte cli/srv est un choix assez sécurisé actuellement car, il faut que les 2 montrent patte blanche, et même compromis, ca reste chiffré. Mais le problème reste la maintenance en effet.



Je suis prêt a parier, que pour les DAB, aucune mise à jour automatique coté OS, sauf durant une maintenance avec présence physique…

votre avatar

fdorin a dit:


D’accord, donc tu ne sais absolument pas comment ça marche (tu ne fais que des supposition), mais tu es capable d’affirmer qu’ils ne sont qu’en local :reflechis:


Tu te fiches de moi ou quoi ? C’est toi qui est venu parler des DAB en disant qu’il était impossible qu’ils ne soient qu’en local, je te donne un exemple d’organisation qui fonctionne et où il le sont, organisation qui ne s’applique pas qu’aux DAB mais qui est un grand classique du cloisonnement des réseaux, surtout quand on a des machines vulnérables à protéger quelle qu’en soit la raison. En disant qu’ils ne peuvent pas être en local, tu affirmes donc quelque chose qui est faux puisqu’ils peuvent l’être, sans même avoir l’honnêteté d’y mettre du conditionnel pour cacher le fait que tu n’en sais pas plus que moi, et que n’as même pas imaginé que ça puisse être différent de ta vision.




Ce n’est pas comme si en 2014, les banques avaient payé Microsoft pour avoir un support prolongé pour Windows XP, justement car beaucoup trop des DAB en dépendait.


Et alors, ce n’est pas parce qu’une machine est en local qu’on n’a pas envie de la mettre à jour quand-même, c’est juste moins critique de le faire.




Après, je ne sais pas comment c’est implémenté aujourd’hui dans les DAB. VPN, API, ou autre, aucune idée !


Bravo, et ça vient donner des leçons en me reprochant exactement la même chose.



Et le reste de ton post sur les VPN non chiffrés (dans ce domaine, lol !) et règles de firewall et routage montre que tu prends les admins réseau qui configurent ce genre d’équipement pour des glands.

votre avatar

th3squal a dit:


Je suis prêt a parier, que pour les DAB, aucune mise à jour automatique coté OS, sauf durant une maintenance avec présence physique…


Je n’en serai pas aussi sûr ! Le mécanisme de mise à jour de XP est très différent de celui que nous avons aujourd’hui. On pouvait choisir quoi et quand. Alors, pas certains que ce soit des mises à jour poussées directement via Windows Update (il faut quand même un minimum de contrôle), mais des mises à jour poussées à distance, ce ne serait pas impossible ;)




Inodemus a dit:


Tu te fiches de moi ou quoi ? C’est toi qui est venu parler des DAB en disant qu’il était impossible qu’ils ne soient qu’en local, je te donne un exemple d’organisation qui fonctionne et où il le sont, organisation qui ne s’applique pas qu’aux DAB mais qui est un grand classique du cloisonnement des réseaux, surtout quand on a des machines vulnérables à protéger quelle qu’en soit la raison. En disant qu’ils ne peuvent pas être en local, tu affirmes donc quelque chose qui est faux puisqu’ils peuvent l’être, sans même avoir l’honnêteté d’y mettre du conditionnel pour cacher le fait que tu n’en sais pas plus que moi, et que n’as même pas imaginé que ça puisse être différent de ta vision.


Merci pour l’agressivité. Je t’invite à relire tes commentaires et les miens. Et ne pas inverser cause et conséquence. C’est toi qui a affirmé qu’ils étaient forcément en local, ce à quoi j’ai réagi en exprimant mon étonnement.



Maintenant, tu fais ce que tu veux avec ton exemple d’organisation. Il n’empêche que d’un point de vue extérieur, le DAB est une boite noire qui est très sans doute connecté à un réseau, qu’il s’agisse d’internet ou autre. Qu’à l’intérieur il y ait un pare-feu suivi d’un serveur suivi de la partie “physique” du DAB importe peu. C’est une boite noire. Et quand bien même il existerait des DAB avec cette structure, cela voudrait juste dire qu’il existe des DAB avec cette structure, pas qu’ils seraient tout ainsi (généralisation impossible que tu fais pourtant allègrement).



Que tu me dises que c’est comme ça que cela fonctionne parce que tu connais le sujet ne me dérange pas. Que tu affirmes que c’est comme cela alors que tu n’y connais rien, oui.




Bravo, et ça vient donner des leçons en me reprochant exactement la même chose.


Contrairement à toi, à aucun moment je n’ai affirmé que le fonctionnement d’un DAB (ou autre) était comme ça et pas autrement. Cf. ta réponse à Krogoth.




Et le reste de ton post sur les VPN non chiffrés (dans ce domaine, lol !) et règles de firewall et routage montre que tu prends les admins réseau qui configurent ce genre d’équipement pour des glands.


Non, pas les admins réseau. Juste toi. Mais je te rassure, tous les chênes ont été gland avant de devenir chêne ;)

votre avatar

Dans le cinema local, tout les rasperry qui gerent les ecran (portes des salles, horaires) etaient en erreur hier

votre avatar

fdorin a dit:


Merci pour l’agressivité. Je t’invite à relire tes commentaires et les miens.


Merci à toi aussi, je t’invite à relire ton message #40 et à te rendre compte du ton agressif et condescendant sur lequel tu m’as répondu.




Et ne pas inverser cause et conséquence. C’est toi qui a affirmé qu’ils étaient forcément en local, ce à quoi j’ai réagi en exprimant mon étonnement.


Tu exprimes ton étonnement en indiquant que forcément ils ne sont pas en local. Il n’y a que toi qui a utilisé le mot “forcément” ici, et tu viens me dire que c’est moi qui affirme.




Maintenant, tu fais ce que tu veux avec ton exemple d’organisation. Il n’empêche que d’un point de vue extérieur, le DAB est une boite noire qui est très sans doute connecté à un réseau, qu’il s’agisse d’internet ou autre. Qu’à l’intérieur il y ait un pare-feu suivi d’un serveur suivi de la partie “physique” du DAB importe peu.


Bien sûr que si que ça importe. Le propos d’origine était qu’il existe encore plein de DAB sous XP, et que, vu le contexte de la news, ce vieil OS peut être exposé aux dangers d’un réseau distant. J’explique donc qu’il y a très probablement quelque chose entre le XP et le reste du monde, quelque chose de plus robuste et tenu à jour. C’est ce qui permet au XP de ne pas se faire attaquer.




C’est une boite noire. Et quand bien même il existerait des DAB avec cette structure, cela voudrait juste dire qu’il existe des DAB avec cette structure, pas qu’ils seraient tout ainsi (généralisation impossible que tu fais pourtant allègrement).


Jamais dit un truc pareil, à quel moment j’ai dit que je connaissais tous les DAB du monde ?




Que tu me dises que c’est comme ça que cela fonctionne parce que tu connais le sujet ne me dérange pas. Que tu affirmes que c’est comme cela alors que tu n’y connais rien, oui.


Ah oui OK, en fait tu viens qualifier mon message #35 de 1 ligne d’affirmation absolue venant d’un gars disant s’y connaître et réputée s’appliquer à tous les DAB du monde, en en inventant alors toute une sémantique que je n’ai jamais écrite.



Par contre tu éludes totalement mon message #38 un peu plus bas, (auquel tu as pourtant répondu avec agressivité en #40), plus détaillé où on voit clairement l’usage de formules conditionnelles, et où même si je présente l’utilisation de machines sous XP connectées à l’extérieur comme très improbable, ça n’en fait pas une vérité absolue. Et toujours aucune trace d’une quelconque phrase indiquant que je m’y connais et que j’ai autorité sur le sujet des DAB.



Après au passage, je sais au moins comment fonctionnent certains TPE pour avoir travaillé avec à bas niveau, mais bien évidemment, je n’ai pas étudié tous les TPE ni tous les systèmes bancaires de la Terre entière.




Contrairement à toi, à aucun moment je n’ai affirmé que le fonctionnement d’un DAB (ou autre) était comme ça et pas autrement. Cf. ta réponse à Krogoth.


Bien sûr que si, message #36. L’utilisation du mot forcément laisse bien moins de place au doute que ma formulation qui ne fait pas usage de mot similaire.



Pour ce qui est de ma soi-disante affirmation “comme ça et pas autrement”, encore une sémantique inventée que je n’ai jamais écrite, comme décrit un peu plus haut.




Non, pas les admins réseau. Juste toi. Mais je te rassure, tous les chênes ont été gland avant de devenir chêne ;)


Attaque inutile et dénuée de sens. Tu ne me connais pas, et ce que j’ai dit fonctionne, tu n’as donc aucun moyen de juger de mon niveau.



De plus, elle sort absolument de nulle part, car quand tu parles d’utilisation de VPN non chiffré et firewall à trous dans ce domaine pourtant considéré comme sensible, ça ne peut pas être moi que tu vises puisque je ne fais pas partie de ceux qui conçoivent ces systèmes.



Pour finir, je ne suis pas un journaliste ou un quelconque “influenceur”, je suis un particulier qui écrit dans les commentaires d’un site de presse, comme tout le monde ici. Je n’ai pas d’idées à imposer, pas de gens à arnaquer, je ne suis ni investi d’une autorité quelconque, ni en position de devoir quoi que ce soit à quelqu’un. On écrit tous ici sans faire systématiquement commencer toutes nos phrases par “je pense” et les finir par “à mon humble avis”, c’est implicite et personne n’est présumé affirmer de manière péremptoire, à moins que le contraire ne soit indiqué, ce que je n’ai pas fait.



Si tu juges mes propos erronés, tu es libre de les corriger mais avec respect. Quand je fais ça, il ne me viendra jamais à l’idée de dire à la personne qu’elle n’y connaît rien et que donc ses propos ne valent rien, je lui explique en argumentant pourquoi je trouve que ce qu’elle a dit est faux, sans l’attaquer directement et sans agressivité. On argumente respectueusement et ça crée éventuellement un débat. Ce que je faisais ici avant que tu ne viennes m’attaquer personnellement, ce qui est d’autant plus déplacé qu’il ne s’agit pas d’un sujet émotionnellement sensible et que je ne peux donc pas mettre ça sur le coup d’une réaction émotionnelle.

votre avatar

Tu as trouvé mon commentaire #40 agressif et condescendant ? J’en suis désolé pour toi, car il ne l’était pas. Il fait juste factuel le lien entre deux de tes commentaires. Le #35, particulièrement affirmatif et péremptoire,et le #38 très conditionnel.



Maintenant, le problème que l’on a est un problème de compréhension. Tu te focalises sur l’interface qui tourne sous un XP. Sauf que l’interface est uniquement un composant d’un DAB, et non le DAB en lui-même.



Alors, oui je ne connais pas le fonctionnement interne des DABs. Cela ne m’empêche pas d’affirmer (comme tu t’en pleins) qu’ils sont reliés au réseau bancaire. Si tu en trouves un, je veux bien que tu me dises où que j’aille faire des retraits qui ne seront pas débités de mon compte !!



Pour ma part, je m’arrête là. Bonne journée à toi.

votre avatar

fdorin a dit:


Tu as trouvé mon commentaire #40 agressif et condescendant ? J’en suis désolé pour toi, car il ne l’était pas. Il fait juste factuel le lien entre deux de tes commentaires. Le #35, particulièrement affirmatif et péremptoire,et le #38 très conditionnel.


Je me suis déjà exprimé au-dessus sur le côté soi-disant “affirmatif et péremptoire”, sur ce commentaire spécifique et ici en général, je ne vais pas recommencer. Tu me prêtes des intentions que je n’ai pas eu à partir de sémantiques que ta perception te fait penser qu’elles sont exprimées alors qu’elles ne le sont pas.



Et sinon, même si tu considères que ta réponse est factuelle, position que je ne partage pas notamment à cause de la présence du smiley qui ne peut que me viser personnellement, il y a plein de choses factuelles qu’on ne dit pas aux gens par respect. Le principe du débat respectueux est surtout d’attaquer les idées qui nous paraissent fausse, et non d’attaquer les gens. Mais pareil, je me suis exprimé là-dessus en fin de commentaire précédent.




Maintenant, le problème que l’on a est un problème de compréhension. Tu te focalises sur l’interface qui tourne sous un XP.


Oui, car c’était ça le sujet d’origine, c’est à ça que répondait mon “affirmation péremptoire” comme tu la qualifies.




Sauf que l’interface est uniquement un composant d’un DAB, et non le DAB en lui-même.


Oui, mais ce n’était pas le sujet d’origine. C’est peut-être là l’incompréhension que tu évoques, sur le contexte. Finalement ce que j’ai dit c’est que la partie sous Windows XP n’est sans doute pas relié directement au reste du réseau, et que donc elle n’est pas attaquable sans avoir d’abord compromis d’autres choses.




Alors, oui je ne connais pas le fonctionnement interne des DABs. Cela ne m’empêche pas d’affirmer (comme tu t’en pleins) qu’ils sont reliés au réseau bancaire.


Je ne m’en plains pas, c’est toi qui dit que tu n’as jamais rien affirmé (ce qui est faux et tu le confirmes ici), et me reproches une soi-disant affirmation péremptoire alors que tu en as fait une juste en-dessous qui par sa formulation l’est bien plus.



Personnellement je n’avais pas considéré ton affirmation comme péremptoire, vu que comme je l’ai dit, c’est par défaut que rien n’est péremptoire ici. Donc j’ai répondu que je trouvais ça faux et pourquoi, sans venir te dire que tu n’y connais rien et que tu ne devrais pas parler sans savoir, parce que ça n’a aucun intérêt de dire ça, hormis risquer de braquer la personne en face.

Let’s Encrypt : l’expiration d’un certificat racine fait la une

Fermer