Acquisition d’un certificat de sécurité sans vérification

Partager sur Viadeo | | 

Impertinences, Internet, Les Potins, Sécurité

Par : Damien Bancal - Samedi 27 décembre 2008 à 11:35

Acquisition d’un certificat de sécurité CA sans avoir subi le moindre contrôle préalable. Démonstration avec Mozilla. D’autres sites dans la ligne de mire ?

Eddy Nigg, de Startcom, a diffusé sur son blog [1] une démonstration prouvant qu’il a réussi l’acquisition d’un certificat de sécurité CA sans avoir subi le moindre contrôle préalable.

Dans son exemple, Eddy démontre que le problème peut être très grave. Il lui a été possible d’obtenir des certificats pour d’autres sites comme Mozilla [2].

Une faille qui ne date pourtant pas d’hier. Juraj Bednar s’en était déjà fait l’écho dans le 2600 magazine [3}. Ce n'est pas pour autant qu'elle avait été corrigée.

Ces certificats sont valables... sauf qu'ils ne devraient pas être entre les mains de personnes non autorisées.

De là à dire que de "faux" certificats sont dans la nature, il n'y a qu'un pas que franchi Jose de chez falle-internet.de "Il est très probable, mais rien n´est encore prouvé, que de vrais certificats eBay, Paypal, de banques en ligne sont dans la nature. Et les navigateurs ne feront pas la différence entre un vrai site et un faux".

En voici d'ailleurs une preuve avec deux sites eBay Italie :
Le premier est vrai : https :// signin.ebay.it/ws/eBayISAPI.dll?SignIn
Pas le second : http :// noxoncomponents.cz/signin.ebay.it/

Au moment de l'écriture de cette brève, les navigateurs n'y ont vu que du feu !

Inq

[1] Eddy Nigg Blog

[2] Groups Google

[3] Juraj Bednar blog

Partager sur Viadeo | | 

• Accueil
• Imprimer
• Commentaire sur cet article