• # Rien compris

    Posté par  . Évalué à 6.

    Est-ce qu'il y aurait une bonne âme pour expliquer le problème ?

    • [^] # Re: Rien compris

      Posté par  . Évalué à 2.

      In a nutshell, the EU is mandating that browsers accept EU member state-issued Certificate Authorities (CAs) and not remove them even if they are unsafe.

      "En bref, l'UE exige que les navigateurs acceptent les autorités de certification (AC) émises par les États membres de l'UE et ne les suppriment pas, même si elles ne sont pas sûres."

      Gros lol quand même, il faudra accepter leurs certificats moisis quoi qu'il en coûte…

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

      • [^] # Re: Rien compris

        Posté par  (site web personnel) . Évalué à 7. Dernière modification le 12/12/22 à 22:59.

        Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.

        On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).

        Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.

        Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.

        Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.

        • [^] # Re: Rien compris

          Posté par  . Évalué à 10.

          Pour l'instant, il existe un équilibre délicat entre les utilisateurs, les bases de certificats racines (les navigateurs principalement) et les autorités de certification (celles dont les certificats racines sont acceptés).

          Si une autorité de certification se met à émettre des certificats n'importe comment, elle se fera dégager manu militari de bases de certificats, et les certificats qu'elle a émis ou émettra ne seront plus valides (en gros, elle peut fermer boutique).

          Sans cette rétroaction, rien n'empêchera plus les autorités de la France/Allemagne/Pologne/Hongrie/Macédoine de faire croire à tout le monde (ou au moins les citoyens concernés par cette legislation), que leur serveur MITM est celui de google. Tu rajoutes les histoires de DNS menteurs, et là oui, ils peuvent intercepter tout le traffic pour presque tout les citoyens (ceux qui n'auront pas pris des mesures inatteignables pour la majorité de la population).

          Pour rappel, il y'a déjà eu des précédents, avec des services secrets étatiques qui s'en sont pris à des CA mal sécurisées, pour faire ce genre de choses (ex: Diginotar).

          Pour le coup, je trouve que l'EFF fait très bien d'alerter là-dessus. Avec un équilibre si délicat, je pense y gagner si tout le monde se tient en joue. Et personnellement, je suis plutôt du même avis qu'eux sur l'affaire de 2017, les dérives au nom du Bien jonchent l'Histoire.

          • [^] # Re: Rien compris

            Posté par  (Mastodon) . Évalué à 1.

            Pour le coup, je trouve que l'EFF fait très bien d'alerter là-dessus. Avec un équilibre si délicat, je pense y gagner si tout le monde se tient en joue. Et personnellement, je suis plutôt du même avis qu'eux sur l'affaire de 2017, les dérives au nom du Bien jonchent l'Histoire.

            Plus 1, faute de pouvoir en donner plus.

          • [^] # Re: Rien compris

            Posté par  (site web personnel) . Évalué à 5.

            Si une autorité de certification se met à émettre des
            certificats n'importe comment, elle se fera dégager manu
            militari de bases de certificats, et les certificats qu'elle a > émis ou émettra ne seront plus valides (en gros, elle peut
            fermer boutique).

            Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.

            Sans cette rétroaction, rien n'empêchera plus les autorités de
            la France/Allemagne/Pologne/Hongrie/Macédoine de faire croire à
            tout le monde (ou au moins les citoyens concernés par cette
            legislation), que leur serveur MITM est celui de google.

            Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")

            Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).

            De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.

            Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.

            Pour rappel, il y'a déjà eu des précédents, avec des services
            secrets étatiques qui s'en sont pris à des CA mal sécurisées,
            pour faire ce genre de choses (ex: Diginotar).

            Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?

            Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?

            Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.

            Pour le coup, je trouve que l'EFF fait très bien d'alerter là-
            dessus. Avec un équilibre si délicat, je pense y gagner si tout
            le monde se tient en joue

            Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.

            Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.

            On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi

            L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).

            Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.

            Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.

            • [^] # Re: Rien compris

              Posté par  . Évalué à 2.

              Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.

              Si absolument. Mais si ça se sait, ils se feront dégager des bases de confiance. C'est, je l'espère, une dissuasion suffisante.

              Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")

              Je n'avais pas suivi ce standard. Cela peut-être une mesure de mitigation effectivement. Pour le certificat let's encrypt, il faut avoir le contrôle du DNS pour la plupart des attaques. Au passage, la centralisation de toute la sécu sur le seul annuaire DNS est un sujet qui me donne des cauchemars, mais c'est un autre sujet.

              De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
              Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.

              Tout à fait. Et ce serait une mesure avec laquelle tous les acteurs vertueux sortiraient gagnants, je pense.
              Néanmoins, ce n'est pas le fonctionnement actuel et il y'a des évolutions protocolaires, infrastructurelles et logicielles à réaliser avant d'y arriver (ex: je ne crois pas qu'il soit faisable actuellement de restreindre la portée des autres certificats * si un certificat plus précis est présent dans la base de confiance).

              Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?

              Que si ils peuvent le faire en toute impunité, ils n'auront même plus besoin de chercher des intermédiaires pour se manger le couperet ?

              Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?

              Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.

              Je suppose que c'était pour s'en prendre à ceux qui naviguent en contournant les mesures mises en place sur le sous-internet iranien ?

              Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.

              Je suis un peu philosophiquement dans cette tendance. Et pourtant, sur plein d'autres choses je suis très favorable à l'intervention voire au monopole de l'État (notamment sur ce qui touche à la sûreté et à l'approvisionnement matériel, energétique et environnemental).

              Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.

              Je ne pense pas que la souveraineté du pays soit en jeu avec cela. Pour exemple, si on suppose que la CIA en a le pouvoir (par pression), elle pourrait émettre des certificats pour delation.gouv.fr par une autre CA, et intercepter du matériel pour faire chanter nos ministres.

              Là on parle que impots.gouv.fr soit marqué comme non-sécurisé, ce qui sauterait au nez des contribuables, et provoquerait une réaction soit contre l'administration si elle en est responsable, soit contre l'ingérence étrangère (les USA y seraient très perdants).

              On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi

              L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).

              Je ne fais ni confiance à ces entreprises, ni aux États. Mes intérêts sont tantôt alignés tantôt opposés aux leurs.
              Le rgpd est d'une relative inefficacité de mon point de vue. Comme probablement la plupart des règlements d'ailleurs touchant à l'immatériel. Les gros profitent de base établie pour continuer leurs horreurs, tout en profitant de la complexité accrue pour détruire les petits et empêcher les nouveaux entrants. On peut parler des cohortes chez google.

              Si ça devait être un choix, j'aurais largement préféré qu'on impose à tous les fournisseurs d'os de fournir le root (le vrai, celui qui permet de desinstaller IE sur vista) à leurs clients, aux fournisseurs d'enclaves sécurisées de pouvoir installer les clefs qu'ils veulent aux propriétaires du matériel (et désactiver celles de base), etc.

              Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.

              Probablement. Pour autant qu'est-ce qui sera plus visible pour le citoyen du pays sous embargo ? Le message d'alerte sur les sites gouvernementaux ou outlook.com inacessible (que MS ne pourra plus fournir pour cause d'embargo) ?

              Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.

              Je suppose que cela se résume, dans ce cas précis, à savoir si le gain en souveraineté vaut le risque de maltraitance sur les citoyens. La valeur de ce risque dépend bien entendu de la confiance que tu as dans les exécutifs des pays européens (en plus de celui de ton pays). Je pense que c'est la différence de confiance que nous accordons à notre État, qui nous fait aboutir à nos deux positions respectives.

      • [^] # Re: Rien compris

        Posté par  . Évalué à 5.

        Ok, merci. Mais qu'est-ce que peut faire l'UE pour imposer ça aux éditeurs des navigateurs web ? Qu'est-ce qui peut les forcer à obéir s'ils sont d'accord entre eux pour ne pas obéir ?

        • [^] # Re: Rien compris

          Posté par  (site web personnel) . Évalué à 10.

          Les brouteurs peuvent aussi être pragmatique : intégrer les certificats moisis obligatoires, mais afficher un gros avertissement de sécurité qui fait peur avec demande de confirmation pour accéder aux sites.

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Rien compris

          Posté par  (site web personnel) . Évalué à 3.

          Comme le GDPR ou les prises de chargements de téléphones en usb, des amendes.

          Parce que les éditeurs en question, encore une fois, c'est Google, Microsoft, Apple. Avec ces 3 la, tu couvre 90% du marché.

          • [^] # Re: Rien compris

            Posté par  . Évalué à 3.

            OK, donc on peut tranquillement attendre les réactions des éditeurs de navigateurs web et les éventuels procès devant la cour de justice de l'Union Européenne.

            • [^] # Re: Rien compris

              Posté par  (site web personnel) . Évalué à 5.

              En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.

              La régulation en question dans son point 23 dit:

              "To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."

              Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.

              Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).

              Le seul truc vaguement que je vois en rapport, c'est l'amendement 64 du comité sur le marché international et de la protection des consommateurs.

              Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question

              Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").

              Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.

              Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).

              Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).

              Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.

              Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.