Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !

Posté par Alex () le 29/03/2007 à 08:41. (lien). Évalué à 1.

Pour installer le certificat dans son navigateur, il nous propose de le télécharger via une connexion non sécurisée :
=> pb d'attaque de type Homme du milieu

Pourquoi tu veux que Mr Bayrou (l'homme du milieu... bon désolé... le bouton de moisage est en bas...) veuille chopper la clée ?

En fait il faudrait également une paire de clées par utilisateur, envoyé par un moyen sécurisé (vu qu'il y a une clée privé dans le lot) et puisse ainsi validé l'AC (en validant les signatures de toute la chaine de certification)

* Certificat d'autorité autosignée
Ici le certificat est autosigné, je peux faire aussi un serveur avec le même nom !

En fait une ac racine ne sert pas à authentifier un serveur, elle doit juste créer des AC qui elles créeront des clées qui authentifieront des serveurs, c'est donc normal qu'elle soit autosigné.

* Pas de lien vers l'empreinte du certificat
http://www.ssi.gouv.fr/fr/index.html ne propose l'empreinte ci-dessous afin de valider le certificat !!!!
60 d6 89 74 b5 c2 65 9e 8a 0f c1 88 7c 88 d2 46 69 1b 18 2c
=> pb d'attaque de type Homme du milieu, ...

En fait si ( http://www.ssi.gouv.fr/fr/sigelec/igca/installer.html ) ils expliquent qu'il faut vérifier l'emprunte, et que cette emprunte est dispo dans le Journal Officiel ( http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=PRM(...) )
Bien sur l'homme du milieu pourrait très bien modifier le pdf, d'où l'interet d'integrer le bon certif dans les outils le necessitant, et de bien verifier leur checksum, sans parler bien sur de la confiance nécéssaire à apporter au packager de ton appli.

[ Répondre ]