Journal : SSL : impôts et EEE PC (en vrac)
Posté par MrLapinot (Jabber id, page perso, ) le 15 mai 2008
Ce journal pour réagir à deux actualités récentes concernant SSL (mais sans aucun rapport l'une avec l'autre).
1) Les impôts
=========
Pour payer ses impôts en ligne, il faut utiliser une applet Java qui se charge se signer la déclaration et de chiffrer la transmission. Et naturellement, ça marche presque bien, presque partout... ou pas du tout, selon les gens. Et puis il faut que l'application soit signée, et patati, et patata.
Mais quand je lis, ici même, des gens qui affirment que « oui, ma bonne dame, c'est vrai que c'est malheureux ce trouc Java qui marche que pouic, mais c'est un mal nécessaire, SSL c'est juste pour le chiffrement, pas pour l'authentification » alors là, je dis STOP !
Oh, les mecs, faut se renseigner un peu : l'authentification mutuelle basée sur SSL, c'est un truc standard, ça marche vachement, et miracle, c'est portable à 100%, partout, indépendamment de la plate-forme. Magique. Deux liens (en anglais) pour ceux qui voudraient des détails : [http://en.wikipedia.org/wiki/Mutual_authentication] et [http://www.freebsddiary.org/openssl-client-authentication.ph(...)].
En pratique, comment ça marche ? Le scénario idéal : le contribuable génère un couple de certificats (publique/privé), il se connecte de manière chiffrée sur un serveur officiel où il soumet son certificat (publique) et des informations d'identification, et on lui renvoie le certificat signé. A partir de ce moment-là, il utilise ce certificat pour se connecter sur le site des impôts, où il est identifié formellement. Signature, chiffrement, tout en un !
Le scénario réel : comme c'est pas évident de faire générer le certificat par l'utilisateur (et puis il pourrait avoir une version non fiable de OpenSSL, qui sait ;-) ), c'est le serveur officiel qui génère le couple de certificats et envoie les deux à l'utilisateur (sur une connexion chiffrée). C'est un poil moins sécurisé, mais à peine. Au pire, on distribue une application qui tourne partout et qui sait générer des certificats (ça s'appelle OpenSSL par exemple, y'a qu'à coller un clickodrome dessus). Et Java signé de mes fesses, poubelle !
2) L'EEE PC
=======
Tout le monde a entendu parler de la faille OpenSSL qui affecte Debian et ses dérivés. Et bien dans les dérivés, il y a Xandros. La distribution fournie par défaut avec l'EEE PC d'Asus. A ce jour, je n'ai trouvé aucun avertissement de sécurité, et il n'y a pas de mise à jour sur le site d'Asus. A vrai dire, je n'ai même pas trouvé de liste de diffusion relative à la sécurité pour le Xandros upstream.
J'ai pas trop de conclusion sur la question, sinon que ça fait chier. Merci de votre attention, vous pouvez retourner hacker le serveur des chinois du FBI.
1) Les impôts
=========
Pour payer ses impôts en ligne, il faut utiliser une applet Java qui se charge se signer la déclaration et de chiffrer la transmission. Et naturellement, ça marche presque bien, presque partout... ou pas du tout, selon les gens. Et puis il faut que l'application soit signée, et patati, et patata.
Mais quand je lis, ici même, des gens qui affirment que « oui, ma bonne dame, c'est vrai que c'est malheureux ce trouc Java qui marche que pouic, mais c'est un mal nécessaire, SSL c'est juste pour le chiffrement, pas pour l'authentification » alors là, je dis STOP !
Oh, les mecs, faut se renseigner un peu : l'authentification mutuelle basée sur SSL, c'est un truc standard, ça marche vachement, et miracle, c'est portable à 100%, partout, indépendamment de la plate-forme. Magique. Deux liens (en anglais) pour ceux qui voudraient des détails : [http://en.wikipedia.org/wiki/Mutual_authentication] et [http://www.freebsddiary.org/openssl-client-authentication.ph(...)].
En pratique, comment ça marche ? Le scénario idéal : le contribuable génère un couple de certificats (publique/privé), il se connecte de manière chiffrée sur un serveur officiel où il soumet son certificat (publique) et des informations d'identification, et on lui renvoie le certificat signé. A partir de ce moment-là, il utilise ce certificat pour se connecter sur le site des impôts, où il est identifié formellement. Signature, chiffrement, tout en un !
Le scénario réel : comme c'est pas évident de faire générer le certificat par l'utilisateur (et puis il pourrait avoir une version non fiable de OpenSSL, qui sait ;-) ), c'est le serveur officiel qui génère le couple de certificats et envoie les deux à l'utilisateur (sur une connexion chiffrée). C'est un poil moins sécurisé, mais à peine. Au pire, on distribue une application qui tourne partout et qui sait générer des certificats (ça s'appelle OpenSSL par exemple, y'a qu'à coller un clickodrome dessus). Et Java signé de mes fesses, poubelle !
2) L'EEE PC
=======
Tout le monde a entendu parler de la faille OpenSSL qui affecte Debian et ses dérivés. Et bien dans les dérivés, il y a Xandros. La distribution fournie par défaut avec l'EEE PC d'Asus. A ce jour, je n'ai trouvé aucun avertissement de sécurité, et il n'y a pas de mise à jour sur le site d'Asus. A vrai dire, je n'ai même pas trouvé de liste de diffusion relative à la sécurité pour le Xandros upstream.
J'ai pas trop de conclusion sur la question, sinon que ça fait chier. Merci de votre attention, vous pouvez retourner hacker le serveur des chinois du FBI.
> Lire le journal (19 commentaires, moyenne: 2,3).
Vous avez demandé le commentaire #931093.
Run by 
Cette page a été générée par Templeet en 0.0414s (dont 0.0047 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
entretiens
A propos du "1) Les Impots", juste pour signaler que j'ai initié une demande d'entretiens http://linuxfr.org/interviews/4.html . Les questions relatives à la procédure de télédéclaration (avant, pendant, apres) pourraient y etre centralisées.
"Quand on est l'homme le plus viril du monde, c'est comme pour les ordinateurs surpuissants : on a besoin d'un putain de système d'exploitation en béton pour faire tourner tout ça sans plantage." P.B.