tag:linuxfr.org,2005:/tags/ev/publicLinuxFr.org : les contenus étiquetés avec « ev »2015-12-31T22:33:32+01:00/favicon.pngtag:linuxfr.org,2005:Diary/362722015-12-28T12:49:29+01:002015-12-28T12:49:29+01:00SSL EV, étendue oui, validation euh...Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>On va parler d’ingénierie sociale… Non, je plaisante, pour notre sujet ce niveau est trop élevé, on va juste parler de chaîne de validation rigolote.</p>
<p>Tout part d'un prix pas trop cher pour un SSL EV (parce que le EV, on on voit à tous les prix, du simple au sextuple facile) directement chez un vendeur qui gère la chaîne complète (pas un revendeur, mais bien un qui a son certificat racine dans les navigateurs, ps n'importe qui donc), j'avais envie de me faire plaisir à voir le nom de mon entreprise sur fond vert dans les navigateurs Internet (certains ont des passe-temps bizarres dirait mon admin sys), pas de raison que seules les grosses boites comme Apple se fassent plaisir.<br>
Paiement facile (l'argent c'est important) sans jamais dire quelles sont les conditions précises pour la validation, je croyais bêtement que j'allais recevoir un courrier à mon adresse professionnelle physique pour vérifier l'identité de la personne morale.<br>
J'avais fourni tout ce qui peut aider : numéro SIRET de mon entreprise etc.<br>
Mis en attente, "le temps de faire les vérifications", je comprend.<br>
10 jours plus tard, j'envoie un mail au support car je n'avais pas de nouvelles.<br>
Réponse : ils n'ont pas pu identifier mon numéro de téléphone. Ok, admettons, je ne savais pas qu'une entreprise devait obligatoirement avoir un numéro de téléphone (bon, déjà ils ne me font pas le coup de demander un numéro de fax, car j'en ai eu des problèmes à ne pas avoir de fax, et non mon entreprise n'a pas 30 ans d'âge), je leur file une copie de ma facture de téléphone avec nom et adresse de l'entreprise, et… refusé. ha… Oui, refusé car il faut que le numéro soit sur un site style pages jaunes. bon, personne dans mon domaine utilise ce genre de chose, donc je leur propose mon extrait Kbis de l'entreprise, avec une adresse physique qui est la seule chose qui peut servir à valider une entreprise étant donné qu'un numéro de téléphone n'a aucune valeur juridique, plutôt mais non il faut un tel public. Le tel sur les registres DNS? Pas l'air de convenir non plus.</p>
<p>Étape 2, faisons donc un peu d’ingénierie sociale… non, déjà dit au début.<br>
Car pour avoir son numéro de téléphone sur Pages Jaunes (ou dan le style, ils filent une liste d'une petite dizaine de sites "référence"), tenez vous bien, il suffit… de demander l'inscription sans <strong>aucune</strong> vérification que le numéro appartient à l'entreprise (ils appellent juste le numéro pour vérifier que tu veux ce numéro public)</p>
<p>Étape 3, on t’appelle pour vérifier que c'est bien l'entreprise (aparté: on te demande avant les horaires souhaités, pour t’appeler en dehors de ces horaires), et la on s'accroche : nom, prénom, fonction, je donne ces infos publiques (entreprise oblige, les infos sont sur infogreffe), et.. C'est tout. Ou presque. On me demande de passer un collègue. Bon, ils n'étaient déjà pas au point sur Internet et ils leur fallait un numéro de tel, je prend donc du temps pour expliquer qu'il arrive en 2015 que les entreprises soient mono-travailleur, mais aussi que les autres travailleurs soient sur un autre site; arghhhh… Pas prévu dans le script, mais personne m'a prévenu que les certificats SSL EV étaient réservés que pour les entreprises avec un numéro de téléphone et avec au moins 2 personnes sur le même site physique! N'ayant personne sous la main à part ma femme, cette dernière se retrouve avec le téléphone et dit son nom, prénom, fonction (en se demandant ce qu'elle vient faire la). Et c'est tout! A quoi est-ce utile? Mystère…</p>
<p>Résumons donc : pour obtenir un certificat SSL EV, il faut… <strong>Rien</strong> de l'entreprise. Juste faire une petite démarche sur un site perdu que le propriétaire légitime ne regarde pas mais "référence" pour le vendeur de certificat, afin de lister un numéro de téléphone quelconque. J'avais déjà entendu parler d'ingénierie sociale, où le propriétaire légitime se fait avoir par une manipulation pour "extraire" une information mais pour avoir un SSL EV le propriétaire légitime n'est <strong>jamais</strong> contacté. On demande des trucs stupides (un numéro de téléphone pour un site web, ha ha, ce numéro peut être quelconque, un nom / prénom sans avoir à donner de preuve) a un inconnu, c'est tout, en se reposant sur une chaîne de sécurité trouée (se reposer sur un site listant un numéro de téléphone sans faire de vérifications, est-ce vraiment valider?).<br>
Je constate donc deux choses :<br>
- N'importe qui peut avoir le nom qu'il veut dans le certificat SSL EV dès lors que l'entreprise visée n'a pas rempli "sa" page sur par exemple Pages Jaunes, ce qui arrive de plus en plus souvent (c'est de moins en moins important, les gens mettent plutôt leur numéro de téléphone sur leur site web, et puis Google n'est pas dans tous les villages de France donc on peut sans doute inscrire son tel avec Google comme nom pour un village perdu)<br>
- N'importe qui peut trouver un certificat SSL EV au nom de son entreprise mais non légitime sans jamais avoir fait une seule erreur en sécurité.</p>
<p>C'est beau la sécurité sur Internet… Je ne m'attendais pas à une grosse validation, mais je ne m'attendais pas à aucune validation réelle (par exemple par vérification de la réalité du nom de l'entreprise, test de l'adresse physique… Bref, à ce que mon <a href="https://www.thawte.fr/ssl/extended-validation-ssl-certificates/">identité a été authentifée selon les normes les plus élevées de l'industrie</a> dixit la pub)<br>
Alors certes on n'a pas trouvé mieux (CACert était une bonne blague de gens se croyant plus forts que les autres mais dont même les plus libristes se sont mis à douter de la faisabilité passé l'euphorie du début, DANE a du mal à percer sans doute du fait de sa complexité de mise en œuvre et de maintenance tout en étant me semble-t-il que du niveau de SSL DV), on colmate les trous (on vire SHA-1 ou RSA-1024, on vire les certificats wildcards, on fait plus attention aux certificats révoqués, on met en place Certificate Transparency, on met du HSTS / Forward Secrecy…), on essaye de faire du SSL DV "pour tous" (Mozilla Let's Encrypt…), on essaye de faire passer tout le monde en chiffré (HTTPS Everywhere…) pour que son FAI ou bar du coin ne se fasse pas plaisir à lire le contenu, mais pour le EV j'ai quand même du mal maintenant à comprendre l’intérêt pratique (sorti de se faire de la thune) à part faire payer cher une sécurité placebo (parait que les utilisateurs ne voient pas la différence) même pour les gens à cheval sur la sécurité et regardant tout, et un joli affichage dans son navigateur qui ne promet aucune meilleure sécurité. Cela suffit aujourd'hui (pas encore de SSL EV avec CT qui a été conspué car pas filé à la bonne personne), mais pour combien de temps? Et finalement, est-il ou sera-t-il possible d'avoir un jour une validation réelle de l'existence physique d'une entité ayant un nom de domaine?</p>
<p>PS : bon, après, on peut rigoler, mais ça n'a pas l'air pire que les revues scientifiques à qui la personne qui veut avoir une validation de son article par les pairs fournit l'adresse mail de ses pairs en se disant que personne n'aura l'idée que le chercheur fournirai une adresse quelconque qu'il contrôle, non… (<a href="http://www.sen360.com/actualite/comment-des-chercheurs-ont-pirate-des-journaux-scientifiques-392939.html">source</a>)</p><div><a href="https://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-euh.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/107721/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-euh#comments">ouvrir dans le navigateur</a>
</p>
Zenitramhttps://linuxfr.org/nodes/107721/comments.atom