C’est lourdingue ces histoires de blocages de ports USB. Dans tous les boîtes où j’ai bossé, la plupart ne font pas ça, et je n’ai jamais vu que ça apporte des problèmes de sécurité. Et l’époque est au “BYOD”, Bring Your Own Device, où on apporte son ordinateur si on veut, mon chef précédent préférait utiliser son MacBook par exemple.
Ce n’est pas parce que tu n’as jamais vu en quoi ça apporte des problèmes de sécurité, que ça n’en apporte pas.
Les ports USB sont un des principaux vecteurs d’infections sur les ordinateurs pros. Par exemple, Michel qui trouve une clé USB à la cafèt’ et qui, curieux, l’insère dans son PC pour voir ce qu’il y a dessus.
Concernant le vol/fuite de données, c’est vrai qu’il y a d’autres vecteurs possibles, mais tout ce qui passe par le mail ou le web, ta boite est tout à fait capable d’analyser le traffic, détecter la fuite de données, et te virer (j’en ai déjà vu se faire virer alors qu’ils se pensaient en sécurité dans leur tunnel SSH, ils auraient dû vérifier l’empreinte du certificat utilisé). Par contre via clé USB c’est beaucoup plus discret.
Bien sûr, il faut que la boite fournisse des clés USB autorisées aux personnes qui en ont le besoin (pour des raisons pro).
Le
18/09/2017 à
14h
35
Dans les banques un minimum sérieuses niveau SSI c’est aussi le cas.
Et tu peux interdire l’utilisation des périphériques USB en général, tout en en autorisant certains (par exemple des clés USB chiffrées fournies par l’entreprise).
Le
18/09/2017 à
13h
18
Une règle de base pour un SI sécurisé, c’est d’avoir interdit l’utilisation de périphériques de stockage USB. (je ne parle pas de demander aux utilisateurs de ne pas le faire, je parle de configurer l’OS pour que ce soit impossible)
Le
18/09/2017 à
13h
10
Tu n’es pas obligé de le prévenir que tu as appelé la Police.
Le
18/09/2017 à
10h
40
Pour le blocage des support de stockage USB, c’est facile à mettre en place avec une GPO. C’est un peu plus fastidieux pour la gestion des autorisations au cas par cas, et encore.
Le
18/09/2017 à
10h
18
Pour le chiffrement de mes clés USB j’utilise principalement 2 solutions, en fonction des cas.
Pour les clés que j’utilise au boulot, tous les terminaux sur lesquels elles sont susceptibles d’êtrre branchées tournant sous Windows, j’utilise BitLocker. Ca fonctionne parfaitement sous tous les Windows récents (depuis le 7 si je ne dis pas de bêtises).
Sinon pour une solution plus interopérable, j’utilise VeraCrypt, mais ça demande à ce que le logiciel soit installé sur le PC (moins plug&play que BitLocker sur Windows)
Le
18/09/2017 à
10h
05
Quand un de tes employés te vole (que ce soit des données ou des biens matériels), tu as le droit d’appeler les forces de l’ordre, qui eux pourront l’arrêter (après enquête de préférence), et saisir ses moyens informatique si nécessaire.
Le
18/09/2017 à
10h
04
Sinon le plus simple reste de chiffrer le contenu de la clé, comme ça perso ou pas, tes données ne peuvent être accédées sans ton consentement.
Après, il faut pas oublier de préciser que les perfs qu’ils ont réussit à atteindre avec leur carte n’est pas forcément reproductible. Ils ont eu de la chance et sont tombé sur une puce de première qualité. Suffit de tomber sur une puce un peu sensible et il serait impossible d’abaisser la tension sans devenir instable (j’imagine qu’AMD n’a pas choisit la tension par défaut au hasard, et qu’elle est nécessaire au bon fonctionnement d’une bonne partie des puces)
Le
01/09/2017 à
17h
48
En sur-alimentant tu rends la carte plus stable, ce qui peut être utile si le yeld est mauvais, des puces qui auraient été disqualifiées peuvent être utilisées en augmentant la tension.
Par contre ça engendre plus de chauffe, donc les mécanisme de réduction automatique de la charges entre en jeu plus souvent pour éviter de dépasser la température max, abaissant les performances.
Le
01/09/2017 à
16h
56
Bon, apparemment je suis pas prêt de troquer mon GPU nVidia contre un ATIAMD
Il me semble que les tendances ne dépendent pas que de tes voisins, mais que c’est un classement national des vidéos les plus visionnées du moment. Ça en dit long sur le pays ‘-_-
Le
31/08/2017 à
09h
25
+1000
Je l’utilise beaucoup sur la Shield TV, et la nouvelle version est beaucoup moins ergonomique :(
Surtout qu’il y a des détrompeurs partout. Donc tant qu’on force pas, aucun risque de placer un composant au mauvais endroit.
Le
23/08/2017 à
17h
20
Je pense qu’on est beaucoup dans ce cas ^^
Par exemple en ce qui me concerne ça donne:
PC de bureau : 2 (PC de jeu principal, et le précédent que je garde comme backup/PC de tests)
Hybride (Surface Pro2) : 1
PC portables (du boulot) : 2
NAS : 1
Boitier multimédia : 1 (nVidia SHield TV)
Consoles de Salon : 2 (je compte la Switch comme console de salon)
Consoles portables : 3
Et encore je suis sûr qu’il y a pire que moi par ici ^^
(ET j’ai pas parlé des équipements réseau de mon LAN qui feraient rêver des PME)
Le
23/08/2017 à
17h
10
Ça fait plus de 15 ans que je monte tous mes PCs, le but étant de ne quasiment jamais repartir de zéro, mais plutôt faire évoluer par petits bouts (une année je vais changer la CG, l’année d’après changer MB+Proco, l’année d’après ajouter de la RAM, …). J’ai le même boitier et la même alim depuis un certain temps ^^ (vu le prix que j’avais mis dedans il faut bien les rentabiliser " /> ).
J’ai aussi une Surface Pro 2 pour quand je ne suis pas chez moi.
Malheureusement dans ce cas ce ne sont plus tes petits-enfants, mais t’es demi-frères et soeurs ;-)
Le
22/08/2017 à
14h
12
Vous êtes tous les deux de grands malades " />
Le
22/08/2017 à
12h
49
Sauf que dans le cadre de ton enfant mineur, tu peux t’accorder à toi même le consentement de l’espionner ;)
Le
22/08/2017 à
11h
55
Perso, je maintiendrais le qualificatif ;)
Le
22/08/2017 à
11h
54
Pas eu le temps de rechercher les papiers, mais t’as déjà cette vidéo qui explique plutôt bien : YouTube(et ses réponses à certains commentaires sur la première vidéo :https://www.youtube.com/watch?v=nWxhqsa_aL0 )
Le
22/08/2017 à
11h
47
Pas encore 100% prouvé, mais quasiment quand même, que l’orientation sexuelle est fortement influencée par des facteurs biologiques et non environnementaux. J’essayerai de te retrouver le papier là dessus quand j’aurai le temps.
Le
22/08/2017 à
11h
37
Ce n’est pas interdit de vendre des trojans et autres virus, c’est interdit de s’en servir sur les SI des autres.
Mais le cas d’un parent installant un logiciel espion sur le PC de son fils (dont les parents sont très probablement propriétaire dans le cas d’un mineur) n’est probablement pas illégal.
Alors, pour la lumière, c’est quelquechose que j’utilise régulièrement.
Dans ma chambre j’ai une ampoule connectée Hue de Philips, que j’utilise notamment comme simulateur d’aube pour me réveiller le matin. Par contre je n’ai pas forcément l’interrupteur à côté du lit, donc je parle à mon téléphone (qui est à l’autre bout de la pièce) pour éteindre la lumière quand je me couche.
Le
03/08/2017 à
15h
21
Bon je me suis renseigné un peu (je ne connaissais pas Kaliopé en me levant ce matin ^^)
Pour le déclenchement de l’assistant avec un mot-clé (“Kaliopé” de base), c’est géré par un serveur en local (appelé Snowboy), donc rien ne part vers Google.
Après, pour la reconnaissance des ordres vocaux, on peut utiliser différents moteurs de reconnaissance vocale, par défaut c’est celui de Google qui est utilisé (à voir les performances en français des moteurs qui tournent en local)
Le
03/08/2017 à
14h
45
Ça a beau être libre, ça utilise Google Speech pour la reconnaissance vocale, ce qui veut dire que tout ce qui se dit autour est envoyé à Google…
EDIT : :Bon apparemment, pas TOUT, vu que la recherche de hot-word pour le déclenchement de l’assistant ne passe pas par Google. Mais les ordres eux, passent bien par Google Speech.
Elle te demande d’avoir le contrôle sur le domaine, c’est tout ce qu’elle est tenue de te demander (pour un certificat TLS de base).
Le
03/08/2017 à
14h
53
Peut-être que l’AC à laquelle tu achetais tes certificats effectuait plus de vérifications, mais pour des certificats de base elle n’était pas tenue de le faire.
Le
03/08/2017 à
14h
52
Il n’y a absolument pas eu de changement de philosophie. Les certificats de base n’ont jamais garanti l’identité de la personne ayant demandé le certificat, juste qu’elle avait le contrôle sur le domaine.
Des années avant LE, StartCom fournissait déjà des certificats gratuits avec une simple vérification du contrôle du domaine (plus faible que la vérification de LE d’ailleurs).
Le
03/08/2017 à
14h
50
Avant de faire transiter des informations sensibles (données CB, …) sur le net, il faut effectivement vérifier la présence du petit cadenas pour s’assurer de la sécurisation de la connexion. Ce n’est juste pas la seule vérification à effectuer.
Le
03/08/2017 à
14h
18
Pour les certificats EV il y a effectivement une vérification de l’identité de la personne (physique ou morale) qui effectue la demande.
Pour les certificats de base il n’y a pas ce genre de vérifications, quelle que soit l’AC. Il faut juste montrer qu’on contrôle le domaine.
Les certificats TLS (à part les EV), n’ont jamais été faits pour garantir que l’on est bien sur un site appartenant à telle ou telle entreprise.
Le
03/08/2017 à
14h
07
Let’s Encrypt garanti très bien l’interlocuteur. Tu ne peux demander un certificat pour un domaine que si tu contrôles effectivement ce domaine.
Par exemple, tu ne pourras pas demander à LE un certificat signé pour le domaine google.com à moins de contrôler ce domaine.
Après, rien n’empêche d’acheter un domaine avec un nom approchant, et de demander un certificats dessus. Si les gens ne savent pas lire, c’est leur soucis.
Le
03/08/2017 à
13h
44
Dans le cas de StartCom, les certificats gratuits étaient sont un produit d’appel, leur permettant de te vendre des certificats payants (genre des wild-card, certificats personnels, …).
De toute manière il n’y a aucun risque tant que tu génères ta propre clé privée et qu’ils n’y ont jamais accès ;)
EDIT: corrections
Le
03/08/2017 à
13h
40
J’ai oublié le 3ème point:
les navigateurs ne pouvaient pas se permettre de ne pas afficher d’avertissement dans le cas de certificats auto-signés, du fait du risque important d’attaque MitM.
Le
03/08/2017 à
13h
39
Je comprend ce que tu veux dire. Juste quelques points :
Pourquoi ce manque de confiance en StartCom ? (tu peux générer un certificat signé par eux, sans jamais leur fournir la clé privée du certificat)
Pour les certificats de base, les AC “historiques” ne font pas plus de vérification que Let’s Encrypt (voire moins dans certains cas). LE n’a fait que faciliter le process, permettant d’avoir facilement et rapidement des certificats.
Le
03/08/2017 à
13h
18
Cf ma réponse en #46
Le
03/08/2017 à
13h
17
On est d’accord sur le fait que le cadenas a été présenté au grand public comme un indicateur de confiance, alors que celui-ci n’a jamais indiqué qu’un site est de confiance.
On n’est pas d’accord sur la solution à apporter ;)
Le
03/08/2017 à
13h
15
Bon je ne suis pas sûr de comprendre ce que tu souhaitais exprimer, mais je vais essayer de répondre quand même.
Par rapport à ton premier message, les navigateurs ont raison d’afficher un avertissement dans le cas de certificats auto-signés : un tel certificat peut être utilisé pour une attaque MitM. Donc les navigateurs affichent un avertissement. Et si c’est notre site web, on sait que c’est normal d’avoir un cert auto-signé, et on valide une exception de sécu. Rien ne t’empêche d’utiliser un tel certificat !
Les AC (autorités de certification) gratuites, telles que Let’s Encrypt ou StartCom, te fournissent des certificats signés (donc pas d’avertissement dans le navigateur), mais que si tu peux leur prouver que tu contrôles effectivement le domaine pour lequel tu demandes un certificat. Donc tu peux en demander pour ton site perso, sur ton domaine, mais pas pour le domaine de quelqu’un d’autre (donc tu ne peux pas récupérer de certificat signé pour une attaque MitM).
Le
03/08/2017 à
13h
09
ndjpoye a écrit :
CF mon msg plus haut (auquel tu as pourtant répondu) sur la com réalisée sur le cadenas pendant DESSSSSSSS Années. Donc si, à un moment on a dit au gens cadenas = confiance.
Ce n’est pas parce qu’on le disait que c’était vrai ;) (ce que je disais c’est que, dans les faits, le cadenas n’a jamais été un indicateur de confiance en un site)
Le
03/08/2017 à
13h
07
Je n’ai rien compris à ton message " />
Le
03/08/2017 à
13h
06
CryoGen a écrit :
De plus, je rappelle que le certificat était délivré sous plus ou moins de contrôle pour l’identification du site. Ce n’est pas non plus un truc que l’on change du jour au lendemain dans l’esprit des gens. L’erreur a peut-être été de mélanger sécurité ET identification sous le simple icône cadenas vert. Mais, encore une fois il est trop tard pour y remédier dans l’esprit des gens.
Il n’y a jamais eu de réelles vérifications que dans le cas des certificats EV (et encore…). Limite, en vérifiant que la demande est faite par quelqu’un qui contrôle réellement le domaine pour lequel le certificat est demandé, LE effectue une vérification plus poussée que certaines autres AC.
Le
03/08/2017 à
13h
01
CryoGen a écrit :
Ca c’est trop tard. Depuis toujours on nous bassine avec le cadenas vert… Il est bien trop tard pour faire marche arrière! Il faut donc soit en renforcer le sens, soit oublier le cadenas et passer à autre chose.
Oui on est bien d’accord, que nous les “power users”, on sait qu’un cadenas ne veut plus rien dire niveau confiance.
Tout d’abord, le cadenas n’a JAMAIS rien voulu dire niveau confiance à accorder à un site. La seule différence c’est qu’avant un certificat signé par une AC coûtait cher, ce qui n’est plus le cas (pour les certificats de base. (et bien avant LE, on avait StartCom comme AC gratuite).
Et non il n’est pas trop tard. Mais pour ça il faut sensibiliser les gens. Quand je vois les conneries racontées sur la sécurité informatique à la TV, je me dis que ça va prendre du temps par contre…
Le
03/08/2017 à
12h
57
Hmmmmm, non, ce n’est pas équivalent.
Par exemple, je peux m’auto-signer un certificat pour le domaine google.com si je le souhaite (et l’utiliser dans le cadre d’une attaque MitM). Mais à moins d’arriver à hacker les enregistrement DNS de Google, jamais une AC, pas même Let’s Encrypt, ne me délivrera le moindre certificat (en théorie; il y a eu des loupé par le passé).
Le
03/08/2017 à
12h
53
Raison pour laquelle je dis que la solution n’est pas de sortir une nouvelle échelle de couleur, qui ne serait même pas rattachée à un indicateur en rapport avec la confiance à accorder au site, mais d’éduquer correctement les gens.
Le
03/08/2017 à
12h
43
Oui, mais comme dit plus haut, le cadenas n’est pas fait pour être un indicateur de la confiance à accorder à un site (sauf dans le cas d’un certificat EV à la rigueur), mais uniquement un indicateur de la sécurisation de la connexion au site.
1408 commentaires
Le salarié qui refuse de remettre immédiatement une clé USB personnelle n’est pas fautif
18/09/2017
Le 18/09/2017 à 14h 40
Le 18/09/2017 à 14h 35
Dans les banques un minimum sérieuses niveau SSI c’est aussi le cas.
Et tu peux interdire l’utilisation des périphériques USB en général, tout en en autorisant certains (par exemple des clés USB chiffrées fournies par l’entreprise).
Le 18/09/2017 à 13h 18
Une règle de base pour un SI sécurisé, c’est d’avoir interdit l’utilisation de périphériques de stockage USB. (je ne parle pas de demander aux utilisateurs de ne pas le faire, je parle de configurer l’OS pour que ce soit impossible)
Le 18/09/2017 à 13h 10
Tu n’es pas obligé de le prévenir que tu as appelé la Police.
Le 18/09/2017 à 10h 40
Pour le blocage des support de stockage USB, c’est facile à mettre en place avec une GPO. C’est un peu plus fastidieux pour la gestion des autorisations au cas par cas, et encore.
Le 18/09/2017 à 10h 18
Pour le chiffrement de mes clés USB j’utilise principalement 2 solutions, en fonction des cas.
Pour les clés que j’utilise au boulot, tous les terminaux sur lesquels elles sont susceptibles d’êtrre branchées tournant sous Windows, j’utilise BitLocker. Ca fonctionne parfaitement sous tous les Windows récents (depuis le 7 si je ne dis pas de bêtises).
Sinon pour une solution plus interopérable, j’utilise VeraCrypt, mais ça demande à ce que le logiciel soit installé sur le PC (moins plug&play que BitLocker sur Windows)
Le 18/09/2017 à 10h 05
Quand un de tes employés te vole (que ce soit des données ou des biens matériels), tu as le droit d’appeler les forces de l’ordre, qui eux pourront l’arrêter (après enquête de préférence), et saisir ses moyens informatique si nécessaire.
Le 18/09/2017 à 10h 04
Sinon le plus simple reste de chiffrer le contenu de la clé, comme ça perso ou pas, tes données ne peuvent être accédées sans ton consentement.
BlueBorne : huit failles critiques dans le Bluetooth, des correctifs déjà déployés
14/09/2017
Le 14/09/2017 à 13h 37
Quand tu vois que des chercheurs en sécurité avaient réussi à ouvrir et démarrer une voiture en hackant les capteurs de pression des pneus…
Le 14/09/2017 à 13h 28
Il me semble que ce n’est pas si simple que ça, car il n’y a pas de HAL (Hardware Abstraction Layer) sur Android.
D’ailleurs si je ne me trompe pas, l’intégration d’une HAL dans Android est une des principales éviolution de la v8.0 Oreo.
Données de connexion : un député LREM s’inquiète d’une conservation trop sélective
05/09/2017
Le 06/09/2017 à 08h 26
Je vois qu’il y a des fans de Meurice dans le coin
" />
Face à OpenVPN, WireGuard veut devenir le Signal des connexions chiffrées
05/09/2017
Le 05/09/2017 à 14h 24
Android utilise le kernel Linux, donc si c’est intégré dans le noyau Linux, c’est intégrable dans le noyau Android ;)
Radeon RX Vega 56/64 : les magasins les achètent plus cher que le tarif de vente annoncé par AMD
31/08/2017
Le 01/09/2017 à 17h 58
Après, il faut pas oublier de préciser que les perfs qu’ils ont réussit à atteindre avec leur carte n’est pas forcément reproductible. Ils ont eu de la chance et sont tombé sur une puce de première qualité. Suffit de tomber sur une puce un peu sensible et il serait impossible d’abaisser la tension sans devenir instable (j’imagine qu’AMD n’a pas choisit la tension par défaut au hasard, et qu’elle est nécessaire au bon fonctionnement d’une bonne partie des puces)
Le 01/09/2017 à 17h 48
En sur-alimentant tu rends la carte plus stable, ce qui peut être utile si le yeld est mauvais, des puces qui auraient été disqualifiées peuvent être utilisées en augmentant la tension.
Par contre ça engendre plus de chauffe, donc les mécanisme de réduction automatique de la charges entre en jeu plus souvent pour éviter de dépasser la température max, abaissant les performances.
Le 01/09/2017 à 16h 56
Bon, apparemment je suis pas prêt de troquer mon GPU nVidia contre un ATIAMD
Du changement chez YouTube : logo, design et applications mobiles
30/08/2017
Le 31/08/2017 à 09h 31
Il me semble que les tendances ne dépendent pas que de tes voisins, mais que c’est un classement national des vidéos les plus visionnées du moment. Ça en dit long sur le pays ‘-_-
Le 31/08/2017 à 09h 25
+1000
Je l’utilise beaucoup sur la Shield TV, et la nouvelle version est beaucoup moins ergonomique :(
Le 31/08/2017 à 09h 24
Loupé sur le reply, sorry
[Sondage] Votre machine principale : un ordinateur fixe ou portable, de marque ou monté ?
23/08/2017
Le 23/08/2017 à 17h 30
Surtout qu’il y a des détrompeurs partout. Donc tant qu’on force pas, aucun risque de placer un composant au mauvais endroit.
Le 23/08/2017 à 17h 20
Je pense qu’on est beaucoup dans ce cas ^^
Par exemple en ce qui me concerne ça donne:
PC de bureau : 2 (PC de jeu principal, et le précédent que je garde comme backup/PC de tests)
Hybride (Surface Pro2) : 1
PC portables (du boulot) : 2
NAS : 1
Boitier multimédia : 1 (nVidia SHield TV)
Consoles de Salon : 2 (je compte la Switch comme console de salon)
Consoles portables : 3
Et encore je suis sûr qu’il y a pire que moi par ici ^^
(ET j’ai pas parlé des équipements réseau de mon LAN qui feraient rêver des PME)
Le 23/08/2017 à 17h 10
Ça fait plus de 15 ans que je monte tous mes PCs, le but étant de ne quasiment jamais repartir de zéro, mais plutôt faire évoluer par petits bouts (une année je vais changer la CG, l’année d’après changer MB+Proco, l’année d’après ajouter de la RAM, …). J’ai le même boitier et la même alim depuis un certain temps ^^ (vu le prix que j’avais mis dedans il faut bien les rentabiliser
" /> ).
J’ai aussi une Surface Pro 2 pour quand je ne suis pas chez moi.
« Savoir si mon fils est gay », l’argument d’un vendeur de logiciels espion
22/08/2017
Le 22/08/2017 à 14h 14
Malheureusement dans ce cas ce ne sont plus tes petits-enfants, mais t’es demi-frères et soeurs ;-)
Le 22/08/2017 à 14h 12
Vous êtes tous les deux de grands malades
" />
Le 22/08/2017 à 12h 49
Sauf que dans le cadre de ton enfant mineur, tu peux t’accorder à toi même le consentement de l’espionner ;)
Le 22/08/2017 à 11h 55
Perso, je maintiendrais le qualificatif ;)
Le 22/08/2017 à 11h 54
Pas eu le temps de rechercher les papiers, mais t’as déjà cette vidéo qui explique plutôt bien :
YouTube(et ses réponses à certains commentaires sur la première vidéo :https://www.youtube.com/watch?v=nWxhqsa_aL0 )
Le 22/08/2017 à 11h 47
Pas encore 100% prouvé, mais quasiment quand même, que l’orientation sexuelle est fortement influencée par des facteurs biologiques et non environnementaux. J’essayerai de te retrouver le papier là dessus quand j’aurai le temps.
Le 22/08/2017 à 11h 37
Ce n’est pas interdit de vendre des trojans et autres virus, c’est interdit de s’en servir sur les SI des autres.
Mais le cas d’un parent installant un logiciel espion sur le PC de son fils (dont les parents sont très probablement propriétaire dans le cas d’un mineur) n’est probablement pas illégal.
[Sondage] Comptez-vous vous acheter une enceinte connectée à un assistant vocal ?
03/08/2017
Le 03/08/2017 à 15h 35
Alors, pour la lumière, c’est quelquechose que j’utilise régulièrement.
Dans ma chambre j’ai une ampoule connectée Hue de Philips, que j’utilise notamment comme simulateur d’aube pour me réveiller le matin. Par contre je n’ai pas forcément l’interrupteur à côté du lit, donc je parle à mon téléphone (qui est à l’autre bout de la pièce) pour éteindre la lumière quand je me couche.
Le 03/08/2017 à 15h 21
Bon je me suis renseigné un peu (je ne connaissais pas Kaliopé en me levant ce matin ^^)
Pour le déclenchement de l’assistant avec un mot-clé (“Kaliopé” de base), c’est géré par un serveur en local (appelé Snowboy), donc rien ne part vers Google.
Après, pour la reconnaissance des ordres vocaux, on peut utiliser différents moteurs de reconnaissance vocale, par défaut c’est celui de Google qui est utilisé (à voir les performances en français des moteurs qui tournent en local)
Le 03/08/2017 à 14h 45
Ça a beau être libre, ça utilise Google Speech pour la reconnaissance vocale, ce qui veut dire que tout ce qui se dit autour est envoyé à Google…
EDIT : :Bon apparemment, pas TOUT, vu que la recherche de hot-word pour le déclenchement de l’assistant ne passe pas par Google. Mais les ordres eux, passent bien par Google Speech.
En froid avec Google, Symantec vend son autorité de certification à DigiCert
03/08/2017
Le 03/08/2017 à 15h 00
Comme bien d’autres autorités avant elle.
Elle te demande d’avoir le contrôle sur le domaine, c’est tout ce qu’elle est tenue de te demander (pour un certificat TLS de base).
Le 03/08/2017 à 14h 53
Peut-être que l’AC à laquelle tu achetais tes certificats effectuait plus de vérifications, mais pour des certificats de base elle n’était pas tenue de le faire.
Le 03/08/2017 à 14h 52
Il n’y a absolument pas eu de changement de philosophie. Les certificats de base n’ont jamais garanti l’identité de la personne ayant demandé le certificat, juste qu’elle avait le contrôle sur le domaine.
Des années avant LE, StartCom fournissait déjà des certificats gratuits avec une simple vérification du contrôle du domaine (plus faible que la vérification de LE d’ailleurs).
Le 03/08/2017 à 14h 50
Avant de faire transiter des informations sensibles (données CB, …) sur le net, il faut effectivement vérifier la présence du petit cadenas pour s’assurer de la sécurisation de la connexion. Ce n’est juste pas la seule vérification à effectuer.
Le 03/08/2017 à 14h 18
Pour les certificats EV il y a effectivement une vérification de l’identité de la personne (physique ou morale) qui effectue la demande.
Pour les certificats de base il n’y a pas ce genre de vérifications, quelle que soit l’AC. Il faut juste montrer qu’on contrôle le domaine.
Les certificats TLS (à part les EV), n’ont jamais été faits pour garantir que l’on est bien sur un site appartenant à telle ou telle entreprise.
Le 03/08/2017 à 14h 07
Let’s Encrypt garanti très bien l’interlocuteur. Tu ne peux demander un certificat pour un domaine que si tu contrôles effectivement ce domaine.
Par exemple, tu ne pourras pas demander à LE un certificat signé pour le domaine google.com à moins de contrôler ce domaine.
Après, rien n’empêche d’acheter un domaine avec un nom approchant, et de demander un certificats dessus. Si les gens ne savent pas lire, c’est leur soucis.
Le 03/08/2017 à 13h 44
Dans le cas de StartCom, les certificats gratuits étaient sont un produit d’appel, leur permettant de te vendre des certificats payants (genre des wild-card, certificats personnels, …).
De toute manière il n’y a aucun risque tant que tu génères ta propre clé privée et qu’ils n’y ont jamais accès ;)
EDIT: corrections
Le 03/08/2017 à 13h 40
J’ai oublié le 3ème point:
Le 03/08/2017 à 13h 39
Je comprend ce que tu veux dire. Juste quelques points :
Le 03/08/2017 à 13h 18
Cf ma réponse en #46
Le 03/08/2017 à 13h 17
On est d’accord sur le fait que le cadenas a été présenté au grand public comme un indicateur de confiance, alors que celui-ci n’a jamais indiqué qu’un site est de confiance.
On n’est pas d’accord sur la solution à apporter ;)
Le 03/08/2017 à 13h 15
Bon je ne suis pas sûr de comprendre ce que tu souhaitais exprimer, mais je vais essayer de répondre quand même.
Par rapport à ton premier message, les navigateurs ont raison d’afficher un avertissement dans le cas de certificats auto-signés : un tel certificat peut être utilisé pour une attaque MitM. Donc les navigateurs affichent un avertissement. Et si c’est notre site web, on sait que c’est normal d’avoir un cert auto-signé, et on valide une exception de sécu. Rien ne t’empêche d’utiliser un tel certificat !
Les AC (autorités de certification) gratuites, telles que Let’s Encrypt ou StartCom, te fournissent des certificats signés (donc pas d’avertissement dans le navigateur), mais que si tu peux leur prouver que tu contrôles effectivement le domaine pour lequel tu demandes un certificat. Donc tu peux en demander pour ton site perso, sur ton domaine, mais pas pour le domaine de quelqu’un d’autre (donc tu ne peux pas récupérer de certificat signé pour une attaque MitM).
Le 03/08/2017 à 13h 09
Le 03/08/2017 à 13h 07
Je n’ai rien compris à ton message
" />
Le 03/08/2017 à 13h 06
Le 03/08/2017 à 13h 01
Le 03/08/2017 à 12h 57
Hmmmmm, non, ce n’est pas équivalent.
Par exemple, je peux m’auto-signer un certificat pour le domaine google.com si je le souhaite (et l’utiliser dans le cadre d’une attaque MitM). Mais à moins d’arriver à hacker les enregistrement DNS de Google, jamais une AC, pas même Let’s Encrypt, ne me délivrera le moindre certificat (en théorie; il y a eu des loupé par le passé).
Le 03/08/2017 à 12h 53
Raison pour laquelle je dis que la solution n’est pas de sortir une nouvelle échelle de couleur, qui ne serait même pas rattachée à un indicateur en rapport avec la confiance à accorder au site, mais d’éduquer correctement les gens.
Le 03/08/2017 à 12h 43
Oui, mais comme dit plus haut, le cadenas n’est pas fait pour être un indicateur de la confiance à accorder à un site (sauf dans le cas d’un certificat EV à la rigueur), mais uniquement un indicateur de la sécurisation de la connexion au site.