Erwan David wrote in message
<m2tziozq9p.fsf>:
> Fais donc comprendre ce que recouvre exactelent SSL et la problématique
> des identifications à un usager standard. On ne peut pas TOUT demander
> aux usagers et de ce point de vue le modèle des certificats X509 est
> pourri.

C'est vrai, mais ça n'excuse pas le fait de ne pas fournir aux utilisateurs
qui comprennent déjà ce qui se passe les informations nécessaires pour faire
la vérification. Le nivellement par le bas, des fois, ça commence à bien
faire.

"Erwan David" <erwan> a écrit
>>
>> dans un fil sur le phishing il est un peu court de blamer les
>> seules banques quand le dommage peut venir de l'imbécilité des
>> usagers - reste que la plupart sont des guignols c'est un fait.
>
> Fais donc comprendre ce que recouvre exactelent SSL et la
> problématique
> des identifications à un usager standard. On ne peut pas TOUT demander
> aux usagers et de ce point de vue le modèle des certificats X509 est
> pourri.

D'autant que toute la sécurité repose sur la consultation du certificat
d'identification !
Lequel certificat (X509 donc) était (est ???) contournable... (je ne
sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a
longtemps)

Donc, imaginons un pirate qui :
- installe un serveur web sur son propre PC en Russie ou en Chine (au
hasard...)
- copie/colle/créé des pages web à l'identique d'une banque,
- les met en ligne et détourne un DNS ou truque une url ressemblant à
celle de la banque visée,
- y ajoute un chiffrement SSL pour obtenir la "fausse sécurité" HTTPS :
il suffit de 30 secondes pour installer un tunnel client/serveur vers
son propre site qui passe dès lors en https ! Avec pi3web par exemple :
http://sebsauvage.net/temp/wink/pi3web_ssl.htm (dès lors le client
lambda se croit en sécurité en voyant le petit cadenas...
http://pi3web.sourceforge.net/pi3web/)
- s'introduit sur le serveur de la banque visée et y installe une
redirection (manuelle ou automatique... voire aléatoire pour ne pas
attirer l'attention du webmaster...) vers... son site pirate (il
pourrait aussi utiliser la technique classique du phishing via email...
mais bon... c'est beaucoup moins "académique" et performant !)
- parachève son phishing en faisant en sorte de supprimer l'alerte de
certificat non valide...
http://www.securiteinfo.com/outils/WinSSLMiM.shtml

sur ce dernier point de toute façon, je suis sûr que 98% des gens ne
contrôle pas l'identité du certificat X509 (a commencer par moi !!!)...
Pareil en ce qui concerne le message d'alerte s'il apparaissait
encore... => la majorité cliquerait dessus sans comprendre...

Bon, moi, sur ce coup de labanquepostale, ma parano a prit un peu trop
vite le dessus... et je n'ai même pas songé à vérifier l'identité du
certificat X504 avant de publier mon post ! Lol !
:-)

"Erwan David" <erwan> a écrit :
>
>>
>> dans un fil sur le phishing il est un peu court de blamer les
>> seules banques quand le dommage peut venir de l'imbécilité des
>> usagers - reste que la plupart sont des guignols c'est un fait.
>
> Fais donc comprendre ce que recouvre exactelent SSL et la
> problématique
> des identifications à un usager standard. On ne peut pas TOUT demander
> aux usagers et de ce point de vue le modèle des certificats X509 est
> pourri.

http://www.korben.info/le-phishing-20-est-arrive.html

"Xavier" wrote in message <47ef63c0$0$867$ba4acef3>:
> Lequel certificat (X509 donc) était (est ???) contournable... (je ne
> sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a
> longtemps)

Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les autorités
de certification reconnues par défaut par les navigateurs sont un minimum
sérieuses pour délivrer les certificats.

> - s'introduit sur le serveur de la banque visée

.... Il fait ça entre le moment où il résout le problème de la faim dans le
monde et celui où il gagne le prix Nobel de littérature, j'imagine ?

Si le pirate est capable de s'introduire sur le serveur de la banque, il
peut de toutes façons faire à peu près ce qu'il veut, c'est une évidence.

"Nicolas George" <nicolas$george> a écrit dans le message de
news:34cc
> "Xavier" wrote in message <47ef63c0$0$867$ba4acef3>:
>> Lequel certificat (X509 donc) était (est ???) contournable... (je ne
>> sais pas ce qu'il en est aujourdhui, mais c'était déjà le cas il y a
>> longtemps)
>
> Euh, non, ce n'est pas vrai. Le certificat est lié au DNS, et les
> autorités
> de certification reconnues par défaut par les navigateurs sont un
> minimum
> sérieuses pour délivrer les certificats.

un serveur DNS ça se spouf... et dans ce cas son url est usurpée,
et,
dans le cas d'un phising de type 2, le "Faux" site est une copie exacte
du site légitime utilisant le protocole HTTPS indiqué par l'icône du
cadenas dans la barre d'état - qui suffit généralement à faire que la
trés grande majorité des utilisateurs le considérent comme un site
approuvé. Les auteurs de ce type d'attaque réalisent cet aspect de
confiance par l'émission d'un "vrai-faux" certificat numérique SSL qui
force Windows à ouvrir la boite de dialogue d'alerte indiquant aux
sufers qu'ils visitent un site soi-disant sécurisé, et, par
méconnaissance, bon nombre d'utilisateurs cliquent « oui » pour
continuer leur surf... car la vision du cadenas et du https les
rassurent.
Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors,
et seulement là, s'apercevoir que le certificat ***n'est pas émis par
une autorité de confiance***.
Le comble c'est qu'il arrive que certains propriétaires légitimes d'un
site n'aient pas renouvelés à temps le certificat d'authentification
(chez verisign,etc) ce qui tend à banaliser l'ouverture de cette boite
de dialogue d'alerte dont l'intérêt n'est pas compris par la majorité
des gens...


>> - s'introduit sur le serveur de la banque visée
>
> ... Il fait ça entre le moment où il résout le problème de la faim
> dans le
> monde et celui où il gagne le prix Nobel de littérature, j'imagine ?

vous êtes très drôle...

>
> Si le pirate est capable de s'introduire sur le serveur de la banque,
> il
> peut de toutes façons faire à peu près ce qu'il veut, c'est une
> évidence.

nous sommes bien d'accord.
Et ils y arrivent... de temps à autre.
Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus
longtemps possible.
Et si vous doutez qu'ils puissent y arriver, c'est certainement que vous
vous informez bien plus de ce qui concerne la faim dans le monde et le
prix Nobel de littérature que de la sécurité informatique...

ce en quoi personne ne vous en voudra...

"Xavier" wrote in message <47ef7a60$0$867$ba4acef3>:
> un serveur DNS ça se spouf...

C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin de
là. Et surtout, c'est hors sujet ici, puisque justement, le mécanisme des
certificats TLS protège de cette attaque. C'est même essentiellement la
seule attaque dont ils protègent.

> Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut alors,
> et seulement là, s'apercevoir que le certificat ***n'est pas émis par
> une autorité de confiance***.

Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a toutes
les cartes en main, au moins pour ce qui est de l'attaque consistant à
empoisonner le DNS.

Évidemment, si l'utilisateur fait n'importe quoi, il se fait pigeonner. Ça
n'est pas une remarque très intéressante dans le cadre de cette discussion.

> Et ils y arrivent... de temps à autre.

Rarement, heureusement. Mais le point important, c'est que quand ils y
arrivent, il n'y a strictement rien que l'usager puisse faire pour s'en
protéger.

> Le tout étant pour eux qu'ils parviennent à y rester inaperçu le plus
> longtemps possible.

Eh pour rester inaperçu, mettre en place une redirection vers un site
extérieur est indubitablement une des pires idées possibles.

"Nicolas George" <nicolas$george> a écrit dans le message de
news:74cc
> "Xavier" wrote in message <47ef7a60$0$867$ba4acef3>:
>> un serveur DNS ça se spouf...
>
> C'est vrai, mais ce n'est pas si facile que tu sembles le penser, loin
> de
> là.

Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
de se tenir au courant de l'actualité concernant la sécurité
informatique. Mais, sachant combien ce genre d'attaques sur les serveurs
bancaires sont tenues secrètes par les banques elles même, qui ne
tiennent vraiment pas à ce que de telles mauvaises publicités puissent
remettre en cause le niveau de sécurité présumé par leurs clients, je
fais confiance (malheureusement) aux sombres hommes de l'art (les
hackers donc) pour maîtriser la mise en pratique de ce genre de
malveillances. Chose dont, pour votre part, vous sembliez laisser penser
ici que c'était quasi impossible...

Je ne serai pas étonné quand on m'apprendra qu'un nouveau dispositif
malveillant aura réussi à intégrer la propre liste des CA reconnue par
nos navigateurs... ajoutant sa propre CA malveillante...

>> Or ***SI ON LIT*** le contenu de cette boite de dialogue on peut
>> alors,
>> et seulement là, s'apercevoir que le certificat ***n'est pas émis par
>> une autorité de confiance***.
>
> Voilà, c'est tout. Il suffit que l'utilisateur fasse attention, il a
> toutes
> les cartes en main, au moins pour ce qui est de l'attaque consistant à
> empoisonner le DNS.
>

Vous devriez lancer un sondage pour évaluer combien, parmi les
utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
d'un certificat d'authentification !!

> Évidemment, si l'utilisateur fait n'importe quoi, il se fait
> pigeonner.

L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
pas**. Nuance.
Certes Henri Ford à construit et vendu des automobiles sans se
préoccuper d'apprendre à conduire à ses clients, et il y a probablement
eu des milliers de morts sans responsable... mais il faudra bien que les
banques se mettent à éduquer leurs clients (ne serait ce qu'en diffusant
l'information sur leurs sites) ! Je vous assure que le jour où une loi
les y obligera -à défaut de quoi elles se verraient entièrement
responsables des éventuelles pertes financières de leurs clients-...
elle s'y mettront (comme on a obligé au permis de conduire automobile
d'une certaine manière)

> Ça n'est pas une remarque très intéressante dans le cadre de cette
> discussion.
>

Moi je trouve que si au contraire. Mon sujet était 'comment être certain
de l'authentification du nouveau site' (non annoncé pour ce qui concerne
la consultation des cptes en ligne des anciens clients CCP), de
labanquepostale, sans renseigner aucun champ éventuellement
"indiscret"... et nous sommes toujours dans le sujet.


>> Et ils y arrivent... de temps à autre.
>
> Rarement, heureusement. Mais le point important, c'est que quand ils y
> arrivent, il n'y a strictement rien que l'usager puisse faire pour
> s'en
> protéger.

C'est bien pouquoi j'étais venu à l'information ici... des fois qu'une
information de dernière minute m'aurait échappée
[..]

"Xavier" wrote in message <47efa1b8$0$869$ba4acef3>:
> Je ne suis pas un "homme de l'art" certes. Seulement quelqu'un qui tente
> de se tenir au courant de l'actualité concernant la sécurité
> informatique.

Pour se tenir au courant, il y a plusieurs moyens. Consulter des sites qui
visent le sensationnalisme et ne fournissent strictement aucune information
technique, c'est un des pires qui puissent se trouver.

> Mais, sachant combien ce genre d'attaques sur les serveurs
> bancaires sont tenues secrètes par les banques elles même,

On commence à sombrer dans la théorie du complot.

> Vous devriez lancer un sondage pour évaluer combien, parmi les
> utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
> d'un certificat d'authentification !!

Je ne suis pas responsable du compte en banque d'autres personnes que moi,
donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si les
autres ont envie de jouer au loto ou d'utiliser des sites web sans prendre
de précautions, c'est leur problème, pas le mien.

> L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
> pas**. Nuance.

Faire quelque chose qui a des conséquences évidentes sans se renseigner un
minimum, c'est faire n'importe quoi, à la base.

> Je vous assure que le jour où une loi
> les y obligera -à défaut de quoi elles se verraient entièrement
> responsables des éventuelles pertes financières de leurs clients-...
> elle s'y mettront

En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est
responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre, on
peut à la limite regretter qu'il n'y ait pas plus de cas de fraude, pour
forcer les gens à ne pas faire n'importe quoi.

> Moi je trouve que si au contraire. Mon sujet était 'comment être certain
> de l'authentification du nouveau site'

La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a pas
d'autre.

"Nicolas George" <nicolas$george> a écrit
>
>> Mais, sachant combien ce genre d'attaques sur les serveurs
>> bancaires sont tenues secrètes par les banques elles même,
>
> On commence à sombrer dans la théorie du complot.

Bah ! Vous seriez le seul à ne pas savoir ça !
Alors disons que, d'après vous, je suis dans la théorie du complot, et,
d'après moi, vous êtes dans le "tout va très bien Madame la Marquise".

>
>> Vous devriez lancer un sondage pour évaluer combien, parmi les
>> utilisateurs d'informatique, connaissent l'utilité, et l'utilisation,
>> d'un certificat d'authentification !!
>
> Je ne suis pas responsable du compte en banque d'autres personnes que
> moi,
> donc ce qui m'intéresse, c'est la sécurité que _je_ peux espérer. Si
> les
> autres ont envie de jouer au loto ou d'utiliser des sites web sans
> prendre
> de précautions, c'est leur problème, pas le mien.

Vous vous la jouez très perso il me semble...
En même temps... c'est votre droit après tout...

>
>> L'utilisateur ne fait pas forcément n'importe quoi... il **ne sait
>> pas**. Nuance.
>
> Faire quelque chose qui a des conséquences évidentes sans se
> renseigner un
> minimum, c'est faire n'importe quoi, à la base.

C'est effectivement *aussi évident* que les "collets" posés par les
gangs de voleurs sur les distributeurs de billets de banque dans la rue
par exemple ***avant*** que les banques puis la télévision n'en parlent
! Chacun aurait du se renseigner et demander s'il n'y avait pas une
possibilité que des aigrfins inventent et posent des sortes de collets
et comment faire pour en être sûr !!
:-)

>
>> Je vous assure que le jour où une loi
>> les y obligera -à défaut de quoi elles se verraient entièrement
>> responsables des éventuelles pertes financières de leurs clients-...
>> elle s'y mettront
>
> En l'état, quelqu'un qui perd de l'argent par sa propre maladresse est
> responsable, ça devrait l'inciter à se renseigner. L'un dans l'autre,
> on
> peut à la limite regretter qu'il n'y ait pas plus de cas de fraude,
> pour
> forcer les gens à ne pas faire n'importe quoi.

Et bien je ne partage pas du tout votre discours ! On ne devrait pas
être obligé de passer par l'expérience malheureuse pour apprendre. Je
pense au contraire que toute personne, physique ou morale, qui met un
dispositif (ou produit, ou service, etc...) sur le marché, *doit* tenir
informés ses clients des éventuels risques encourus et *comment s'en
protéger*.
Or, dans la cadre particulier des institutions bancaires, c'est surtout
l'encouragement à utiliser tous les moyens offerts aussi par la
concurrence qui prime, et rassurer le client sur le pas ou peu de
risques de ces moyens. A moins de ne pouvoir nier l'évidence devenue
notoire par sa médiatisation.
Mais bon... nous ne sommes plus dans la bonne NG pour cette discussion.

>
>> Moi je trouve que si au contraire. Mon sujet était 'comment être
>> certain
>> de l'authentification du nouveau site'
>
> La réponse, je l'ai donnée : en vérifiant le certificat. Il n'y en a
> pas
> d'autre.

Et bien je le répète : nous sommes d'accord. Il n'y en a pas d'autre.
Et je le répète aussi : je ne serai pas étonné le jour où un hacker
pondra un malware qui réussira à faire accepter sa fausse CA -Autorité
de Certification- par nos navigateurs Internet (qui n'émettrons même
plus d'alerte donc). D'ailleurs, même sans en être là, il leur suffit
déjà pour cela de nous faire accepter leur CA sur un simple site banal
sans aucun enjeu financier -comme un site de téléchargement d'un
programme gratuit par exemple- pour faire reconnaître la validité de
leur certificat une fois pour toute par notre navigateur... et utiliser
ensuite cette certification enregistrée comme valide par notre
navigateur pour phisher un site bancaire sans qu'il y ait la moindre
alerte.
Alors oui, je suis certainement particulièrement parano en ce qui
concerne Internet, et donc je cherche de l'information et me renseigne
sur l'état de l'art des hommes de l'ombre à la moindre suspicion en
effet.
Mais, contrairement à vous il me semble, je vois dans les NG d'usenet
non seulement un bon moyen de me tenir informé et apprendre, mais aussi
de permettre aux autres de s'informer.


copié/collé d'une procédure de piratage décrite sur un site anti hackers
:
"
.. HTTPS
- Utilise SSL (Secure Socket Layer).
.. Sécurité entre un client léger (navigateur) et un serveur web.
.. Confidentialité : algorithme de chiffrement.
.. Intégrité : MAC (Message Authentification Code), fonctions de hachage.
.. Authentification : certificats X.509.
- Certificat approuvé et signé par la CA (Certification Authority).
- Si le certificat n'est pas reconnu, le client léger émet une alerte.
- Outils
.. Linux, package dsniff : sslmim, sslsniff et webmitm.
- Attaque: « man in the middle SSL»
.. Position: entre le client et le serveur.
.. Permet de lire et modifier les données échangées.
.. Utilisation de WinSSLMiM.
.. HTTPS : Attaque 1
- Substitution du certificat par un faux signé par le pirate.
- Une alerte est générée par le navigateur.
- On se base sur le fait que l'utilisateur
pourrait accepter cette version non signée !
- Pour la génération du faux certificat, il est possible d'utiliser
FakeCert
.. Cet outil se connecte à un serveur HTTPS et recopie le certificat
original.
.. Cette copie concerne uniquement les champs, mais n'est pas signé.
.. Bien entendu, une alerte sera émise, mais l'utilisateur aura de la
difficulté à distinguer le fait que son navigateur ne connaît pas la CA
(Certification Authority) émettrice d'une attaque.
- Le détournement du trafic peut se réaliser avec une attaque « DNS
Spoofing » en utilisant WinDNSSpoof
.. Ainsi tout le trafic est détourné sur la machine pirate.
- Pour se mettre en position milieu, il est possible d'utiliser
WinSSLMiM qui distribuera ce faux certificat
.. Dès que l'utilisateur aura accepté ce faux certificat, WinSSLMiM
enregistre tous les échanges en clair dans un log !
.. HTTPS : Attaque 2
- L'idée est de constater que si un pirate possède une certificat de
confiance, il peut certifier n'importe quel serveur web sans que IE n'émette
d'alerte (propriété basic constraints).
- L'utilisation de l'outils FakeCert permet la mise en oeuvre de cette
attaque. "

Xavier a écrit :
> Bon ok... il n'y a pas de piège alors...
> ça fonctionne normalement en effet.
> Merci à tous pour vos éclaircissements.
> (quand même... chez labanquepostale... ils auraient pu communiquer avec
> les anciens du CCP comme moi... pour nous informer que videoposte_com
> allait être redirigé !)
Regarde sur tes relevés de comptes: ça fait des mois que l'adresse est
indiquée dessus.

Jeremy JUST a écrit :
> Le 29 Mar 2008 22:48:18 GMT,
> Sylvain SF <sylvain> a écrit :
>> En l'occurrence, la banque ne fournit pas au client de quoi être sûr
> qu'il se connecte bien chez elle.
Vous ne lisez jamais vos relevez de compte ?

En bas de page il y a une rubrique "VOS CONTACTS".
L'adresse du site y est indiqué, encore faut-il savoir lire.

Nicolas George wrote:
> [...]
> La question est la suivante : as-tu reçu, par un courrier assez authentifié
> (le bon endroit pour ça serait le courrier informant du mot de passe
> d'accès), l'empreinte du certificat TLS utilisé par le site.
>
> [...]
> Si non, c'est que la gestion de la sécurité entre les services informatiques
> et les services d'information aux clients est une vaste plaisanterie, [...]

Oui, enfin dans le cas générale la sécurité repose plutôt sur le fait
que le certificat du site est signé par une AC publique qui s'engage à
respecter les règles adéquates, et de ce fait a reçu l'autorisation
d'être par défaut dans le magasin de ton navigateur.

Le principe étant qu'il vaut une sécurité "raisonnable" mais très simple
d'emploi dont il est certain que tout le monde se sert plutôt qu'une
sécurité encore meilleure en théorie mais dont la complexité
d'utilisation fait que dans de nombreux cas les utilisateurs prennent
des raccourcis, ici se connectent sans revérifier à chaque fois l'empreinte.

Car dès qu'un utilisateur prend un raccourci de ce type le système de
sécurité ne sert à rien. Et du coup la solution 2 non appliquée devient
beaucoup plus dangeureuse que la 1 bien appliquée.

Cela dit lorsqu'un site n'utilise pas un certificat sous une AC publique
*et* ne diffuse pas systématiquement l'empreinte, il n'a vraiment pas
compris grand chose.
Heureusement l'exemple n°1 de ce comportement n'est plus valable, ils
sont passés à des certificats chez Thawte.

"Xavier" wrote in message <47f0c978$0$874$ba4acef3>:
> Vous vous la jouez très perso il me semble...

Mon propos à le mérite d'être cohérent. On ne peut pas supposer à la fois
que l'utilisateur se pose des questions de sécurité et qu'il faut des
erreurs grossières comme accepter un certificat malgré une alerte ou
importer une autorité de certification douteuse.

> C'est effectivement *aussi évident* que les "collets" posés par les
> gangs de voleurs sur les distributeurs de billets de banque dans la rue
> par exemple ***avant*** que les banques puis la télévision n'en parlent
> ! Chacun aurait du se renseigner et demander s'il n'y avait pas une
> possibilité que des aigrfins inventent et posent des sortes de collets
> et comment faire pour en être sûr !!

Je ne vois pas le rapport avec la choucroute.

> Et bien je ne partage pas du tout votre discours ! On ne devrait pas
> être obligé de passer par l'expérience malheureuse pour apprendre.

La plupart des gens refusent d'apprendre, c'est un fait. Il n'y a que la
carotte et le bâton pour éduquer la grande majorité de la population. En
particulier, la carotte seule ne suffit pas.

> Et je le répète aussi : je ne serai pas étonné le jour où un hacker
> pondra un malware qui réussira à faire accepter sa fausse CA -Autorité
> de Certification- par nos navigateurs Internet (qui n'émettrons même
> plus d'alerte donc).

Ça n'affectera pas ceux qui font attention à ce qu'ils font, et tiennent
leurs logiciels à jour.

> D'ailleurs, même sans en être là, il leur suffit
> déjà pour cela de nous faire accepter leur CA sur un simple site banal
> sans aucun enjeu financier -comme un site de téléchargement d'un
> programme gratuit par exemple- pour faire reconnaître la validité de
> leur certificat une fois pour toute par notre navigateur...

Importer une CA est loin d'être une opération anodine. On pourrait regretter
que les demandes de confirmations ne soient pas encore plus visibles, mais
l'état actuel en fait déjà une opération assez technique. En particulier,
contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.

> Alors oui, je suis certainement particulièrement parano en ce qui
> concerne Internet, et donc je cherche de l'information et me renseigne
> sur l'état de l'art des hommes de l'ombre à la moindre suspicion en
> effet.

C'est une attitude louable, mais encore faut-il garder son esprit critique
vis-à-vis du sensationnalisme. Ce qui est précisément ce que je reproche.

> copié/collé d'une procédure de piratage décrite sur un site anti hackers

Et voici un exemple typique de ce que je reproche : « un site
anti-hackers », quelle référence. Et le texte est à la hauteur : un
salmigondis de buzzwords sur le ton du yakafokon.

Jean-Marc Desperrier wrote in message
<fstaac$lgl$1>:
> Oui, enfin dans le cas générale la sécurité repose plutôt sur le fait
> que le certificat du site est signé par une AC publique qui s'engage à
> respecter les règles adéquates, et de ce fait a reçu l'autorisation
> d'être par défaut dans le magasin de ton navigateur.

Le problème, c'est que « les règles adéquates », c'est essentiellement
vérifier que celui qui a demandé le certificat contrôle bien le domaine pour
lequel il l'a demandé.

Ça protège des falsifications DNS et des attaques man-in-the-middle, mais de
toutes façons, dans le contexte d'Internet-à-la-maison, ces attaques ne sont
essentiellement réalisables que par l'opérateur réseau, donc bof.

Ça ne garantit en particulier absolument pas que le site est celui auquel on
souhaite accéder.

> Le principe étant qu'il vaut une sécurité "raisonnable" mais très simple
> d'emploi dont il est certain que tout le monde se sert plutôt qu'une
> sécurité encore meilleure en théorie mais dont la complexité
> d'utilisation fait que dans de nombreux cas les utilisateurs prennent
> des raccourcis, ici se connectent sans revérifier à chaque fois l'empreinte.

Tu rédiges ce paragraphe comme si l'alternative était exclusive. Ce n'est
pas le cas : une banque pourrait parfaitement utiliser un certificat d'une
CA standard, et ainsi assurer une sécurité élémentaire pour ses clients les
moins techniquement compétents, ET fournir l'empreinte de son certificat par
un canal indépendant et authentifié pour que les clients qui le souhaitent
puissent faire la vérification poussée.

Les deux mesures sont complémentaires et pas du tout contradictoires.

"Nicolas George" <nicolas$george> a écrit

> On ne peut pas supposer à la fois
> que l'utilisateur se pose des questions de sécurité et qu'il faut des
> erreurs grossières comme accepter un certificat malgré une alerte ou
> importer une autorité de certification douteuse.

Et pourtant : vous venez de faire le portrait de l'utilisateur
d'informatique lambda. Il lui arrive de se poser des questions sur la
sécurité, mais il ne maîtrise pas suffisament l'informatique que ni des
alertes au contenu sibyllin ni des fournisseurs de services bancaires ne
font l'effort de lui expliquer clairement.

>
> La plupart des gens refusent d'apprendre, c'est un fait.

En particulier lorsque l'information est obscure, incompréhensible,
voire inexistante !

> Il n'y a que la
> carotte et le bâton pour éduquer la grande majorité de la population.
> En
> particulier, la carotte seule ne suffit pas.
>

Bon. Je crois que je saisis beaucoup mieux votre façon de penser...
Grosso modo, pour résumer, et en collant à ce qui s'est dit ici, ce ne
serait pas quelque chose comme : tant pis pour ceux qui tombent dans le
piège, c'est qu'ils sont des mules, z'avaient qu'à être intelligents !?

>
> Ça n'affectera pas ceux qui font attention à ce qu'ils font, et
> tiennent
> leurs logiciels à jour.
>> Importer une CA est loin d'être une opération anodine. On pourrait
> regretter
> que les demandes de confirmations ne soient pas encore plus visibles,
> mais
> l'état actuel en fait déjà une opération assez technique. En
> particulier,
> contenter de cliquer sur « ok » ne suffit pas. Donc non, c'est faux.
>

Ce n'est absolument pas une opération anodine en effet. Mais combien de
personnes connaissent l'enjeu de ce qui se résume pourtant à un simple
clic de plus ou de moins ?! Sans information suffisante en amont.
On en revient à ce que je dis : si l'émetteur du service n'informe pas
ou pas correctement sur quoi vérifier et comment, l'utilisateur lambda
ne peut pas l'inventer. Dès lors il est mûr pour faire le clic de trop
qui tue ! Il y a de fortes chances pour qu'il clique au hasard sur
l'alerte de certificat parce qu'il ne sait pas à quoi ça correspond et
veut contourner le blocage ("Bah ! Encore un blocage de Windows
certainement. Mon banquier ne m'a jamais parlé de certificat"...)

>
>> copié/collé d'une procédure de piratage décrite sur un site anti
>> hackers
>
> Et voici un exemple typique de ce que je reproche : « un site
> anti-hackers », quelle référence. Et le texte est à la hauteur : un
> salmigondis de buzzwords sur le ton du yakafokon.

Joli nom qui pourrait figurer sur la carte d'un restaurant spécialiste
en cuisine nouvelle !
Vous êtes dans la restauration sans doute.
Désolé. Je pensais avoir à faire à un connaisseur qui aurait su
identifier les programmes mentionnés plutôt que des "buzzword".
Laissez tomber cette recette alors. Elle n'est pas compréhensible par
tout le monde en effet.