Journal Certificat non reconnu, qui contacter à la Société Générale ?

Posté par  . Licence CC By‑SA.
6
13
août
2021

Quand un site d'e-commerce propose un paiement via Sogenactif de la société générale, les certificats ne sont reconnus par aucune autorité de certification présente dans le navigateur Mozilla Firefox. Le chiffrement ne se fait pas. Je voudrais le signaler à la Société générale mais impossible de trouver un contact dédié à la sécurité informatique. Le support se contente de répondre "utilisez un autre navigateur web). Quelqu'un aurait-il une adresse où on peut écrire ?

  • # Coordonnées trouvées

    Posté par  . Évalué à 3.

    J'ai écris à protectiondesdonnees@societegenerale.fr qui a répondu avoir transmis. Ça devrait être bon.

  • # pour moi tout va bien

    Posté par  (site web personnel) . Évalué à 3.

    De ce que je vois le certificat est valide et expire le 31 mars 2022, certificat émis par QuoVadis Limited. Donc je dirais que le souci est plutot avec ton navigateur.

  • # Pas Firefox

    Posté par  (site web personnel) . Évalué à 1. Dernière modification le 13 août 2021 à 13:30.

    aucune autorité de certification présente dans le navigateur Mozilla Firefox

    J'ai Firefox fourni par Mozilla et ce dernier a QuoVadis, l'URL que tu essayes marche très bien avec Firefox (sous Windows 10, mais pareil avec Firefox fournis par Ubuntu 20.04).
    donc attention : le problème n'est pas avec Mozilla Firefox, mais avec la personne en charge des certificats sur ta machine (mainteneur de distro? QuoVadis supprimé manuellement?) et le problème est loin d'être global à Firefox, même pas Linux, donc très peu de "cas" si ce n'est pas toi qui a fait quelque chose.

    A noter que si tu supprimes le Certificat Let's Encrypt pour une raison quelconque, tu aurais le même problème avec LinuxFr (qui était d'ailleurs à une époque l'un des rares sites avec cette erreur, du fait que l'intermédiaire choisi par les responsables de LinuxFr était accepté nul part à part Debian qui a aussi viré la chose, à force ils ont lâché et utilisé un truc correct parce que leur choix prosélytiste devenait intenable suite à un audit ayant montré que c'était troué).

    Bref le problème n'est pas le navigateur Mozilla Firefox qui marche très bien au moins sur les OS majeurs avec le site dont tu parles, il faudrait que tu cernes le problème en sachant qui a viré un truc, et ensuite décider si tu essayes de motiver la SG à changer de fournisseur pour la raison que tu leur donneras, tu feras de la politique et non de la technique.

    Sans ça, la réponse que tu recevras sera (à raison) "non reproductible".

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 7.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Pas Firefox

        Posté par  . Évalué à 1. Dernière modification le 13 août 2021 à 18:10.

        C'est une Linux Mint 20.2 Cinnamon fraîchement installée et je n'ai rien viré dans la liste des certificats ni dans la liste des autorités de certification.

        • [^] # Re: Pas Firefox

          Posté par  . Évalué à 2.

          Tu as peut-être "bidouillé" le paquet ca-certificates. Tu peux vérifier/corriger ça avec cette commande normalement :

          sudo dpkg-reconfigure ca-certificates

          • [^] # Re: Pas Firefox

            Posté par  . Évalué à 2.

            Non, je n'ai rien bidouillé, c'est une installation par défaut. Je viens quand même de taper cette commande, j'ai 129 certificats d'autorités de certification à la fin et j'ai toujours la même erreur chez un marchand qui utilise cette plateforme de paiement.

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 2.

            Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Commentaire supprimé

          Posté par  . Évalué à 2.

          Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Pas Firefox

          Posté par  (site web personnel) . Évalué à 2.

          Quand tu dis "fraichement installée", est ce que tu as peut être réinstallé en conservant des données personnelles, et donc gardé un ancien profil de Firefox? Si tu crées un nouvel utilisateur et teste depuis sa session, tu as le même problème?

          Un LUG en Lorraine : https://enunclic-cappel.fr

  • # Le chiffrement ne se fait pas

    Posté par  . Évalué à 3.

    Le chiffrement ne se fait pas

    Petit point de détail : le chiffrement "se fait". Par contre, tu n'as pas de garantie qu'il soit fait de manière à ce que seuls la société générale et toi puissiez déchiffrer le trafic.

  • # Source du problème

    Posté par  . Évalué à 2. Dernière modification le 13 août 2021 à 20:26.

    La première réponse de l'équipe sécurité de la société générale :

    "Les premières analyses indiquent jusqu’à présent qu’y compris dans ce contexte, les données sont bien chiffrées.

    Il semblerait que le message que vous avez reçu correspondrait à celui émis lorsqu’une machine est configurée avec une date dans le futur/passé (une date supérieure à 23/03/2022 ou inférieure à 31/03/2021).

    N’hésitez pas à nous confirmer / infirmer cette hypothèse.

    "

    J'ai répondu que je suis bien synchronisé avec les serveurs NTP
    Personne d'autre n'a réussi à reproduire cette erreur de certificat ?

    • [^] # Re: Source du problème

      Posté par  . Évalué à 4.

      Il semblerait que le message que vous avez reçu correspondrait à celui émis lorsqu’une machine est configurée avec une date dans le futur/passé (une date supérieure à 23/03/2022 ou inférieure à 31/03/2021).

      Le message d'erreur de FF dans ce cas aurait été différent de celui de ton screenshot : "Soit le site est mal configuré, soit l’horloge de votre ordinateur est réglée à la mauvaise heure."

      Personne d'autre n'a réussi à reproduire cette erreur de certificat ?

      Pas moi. Pour confirmer qu'il s'agit bien d'un problème de CA chez toi, clique sur le bouton "Avancé" et regardes le code d'erreur. Pour une CA non reconnue, c'est SEC_ERROR_UNKNOWN_ISSUER

      Par ailleurs, si tu affiches le certificat, tu as quoi comme empreinte SHA-256 pour vérifier qu'on parle bien du même ?
      De mon côté, c'est :
      F9:0F:D8:63:D5:9A:FE:EC:1B:73:07:AE:8B:63:CC:CF:66:A4:8B:8D:B8:38:47:1C:A0:D1:5C:67:73:50:B2:C2

      • [^] # Re: Source du problème

        Posté par  . Évalué à 2.

        J'ai :

        Quelqu’un pourrait être en train d’essayer d’usurper l’identité du site. Vous ne devriez pas poursuivre.

        Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à payment-webinit.sogenactif.com, car l’émetteur de son certificat est inconnu, le certificat est auto-signé ou le serveur n’envoie pas les certificats intermédiaires corrects.

        Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER

        SHA-256
        F9:0F:D8:63:D5:9A:FE:EC:1B:73:07:AE:8B:63:CC:CF:66:A4:8B:8D:B8:38:47:1C:A0:D1:5C:67:73:50:B2:C2

        • [^] # Re: Source du problème

          Posté par  . Évalué à 4.

          Donc on a le même certificat qui nous est présenté, mais chez toi le chemin de certification n'est pas validé, ce qui est probablement dû à une autorité de certification non reconnue.

          Je suis sur KDE Neon, il faudrait un autre utilisateur de Cinnamon pour vérifier si ça vient de la distrib ou de ta config (ou alors tu réinstalles dans une VM pour vérifier).

          • [^] # Re: Source du problème

            Posté par  . Évalué à 2. Dernière modification le 13 août 2021 à 21:29.

            Avec Linux Mint 20.2 Cinnamon installé dans une VM et avec la même version de Firefox :
            https://wtf.roflcopter.fr/pics/h7q4nNLl/Cxo6sLtD.png
            https://wtf.roflcopter.fr/pics/JLq5zpZa/r12oHHqB.png

            C'est parce qu'il faut d'abord faire l'achat sur le site web d'origine qui redirige vers le site de paiement. Ce que j'ai fait et ça marche ! Donc il y a bien un souci sur mon poste, mais où ???
            En tout cas, merci pour l'aide.

            • [^] # Re: Source du problème

              Posté par  . Évalué à 0. Dernière modification le 13 août 2021 à 21:51.

              Ce que je ne comprends pas non plus, c'est que sur mon poste, j'ai vidé tous mes caches et désactivé toutes mes extensions puis redémarré Firefox. J'arrive à accéder à https://payment-webinit.sogenactif.com/paymentInit sans passer par le site marchand (j'ai alors l'erreur à propos du certificat), alors que dans la VM, j'ai de suite une erreur 500.

              • [^] # Re: Source du problème

                Posté par  . Évalué à 2.

                Dans l'ordre c'est d'abord l'établissement de la connexion TLS puis les échanges HTTP dont le code d'erreur.
                Du coup, sur ton PC : pas d'établissement de connexion TLS donc pas d'erreur HTTP.
                Sur ta VM : établissement de la connexion TLS puis erreur HTTP.
                Si sur ton PC, tu passes outre les avertissements de sécurité, tu obtiendras aussi l'erreur 500.

                • [^] # Re: Source du problème

                  Posté par  . Évalué à 0.

                  Ah oui, c'est plus clair maintenant. Donc j'ai un souci avec ma liste de certificats signés par les autorités de certification. J'ai réinstallé les paquets ca-certificate, ca-certificate-java et ca-certificate-mono, que dalle, toujours l'alerte. Je vais essayer avec un nouveau profil de Firefox.

                • [^] # Re: Source du problème

                  Posté par  . Évalué à 0.

                  Avec un nouveau profil, je n'ai plus le problème de certificat. J'ai 36 onglets d'ouverts, ça pourrait perturber ?

                  • [^] # Re: Source du problème

                    Posté par  . Évalué à 1.

                    Avec un nouveau profil, je n'ai plus le problème de certificat

                    Du coup, c'est peut-être une extension qui pose problème. Si tu en as qui font des actions sur les certificats, essaye de les désactiver.

                    • [^] # Re: Source du problème

                      Posté par  . Évalué à 0.

                      J'ai déjà testé ça. J'ai vidé tous mes caches, désactivé toutes mes extensions puis redémarré Firefox. J'ai alors l'erreur à propos du certificat.

                    • [^] # Re: Source du problème

                      Posté par  . Évalué à 0.

                      • J'ai la même version de Firefox et les mêmes certificats des autorités de certification sur mon poste et ma VM.
                      • J'ai désactivé en même temps DNS via HTTPS et toutes les extensions, vidé complètement le cache et redémarré Firefox. -> toujours le même problème uniquement sur mon poste.

                      Il y a peut-être un paramètre de configuration qui diffère entre les 2 mais je ne le vois pas.

                      Je sèche complètement.

                    • [^] # Re: Source du problème

                      Posté par  . Évalué à 0.

                      Et le pire, c'est que c'est uniquement avec ce site web que j'ai ce problème !

                    • [^] # Re: Source du problème

                      Posté par  . Évalué à 0. Dernière modification le 14 août 2021 à 13:35.

                      J'ai désactivé mon pare-feu dès fois qu'un protocole tel que l'interrogation des serveurs OCSP soit bloqué. Nada.

                • [^] # Re: Source du problème

                  Posté par  . Évalué à 1.

                  J'ai comparé ma liste de CA entre mon poste et la VM, j'ai juste 2 certificats en plus : https://wtf.roflcopter.fr/pics/dCmMer3X/fQlj0dBz.png
                  Ils auraient dû être révoqués, je suppose : https://en.wikipedia.org/wiki/DigiNotar

                  Je les ai enlevés, mais ça ne résoud évidemment pas mon problème.

      • [^] # Re: Source du problème

        Posté par  . Évalué à 1.

        J'utilise Mozilla Firefox 91.0, Linux Mint 20.2 Cinnamon. Tu utilises la même chose ?

  • # Lien

    Posté par  . Évalué à 0.

    • [^] # Re: Lien

      Posté par  . Évalué à 0.

      J' ai bien l'erreur mais j'ai virée les certificats de QuoVadis de Firefox .

      Regardez si vous avez le certificat root " QuoVadis Root CA 2 G3" dans Firefox .

      • [^] # Re: Lien

        Posté par  . Évalué à 0.

        Tu as l'erreur de certificat ou le certificat est reconnu et tu as l'erreur du serveur HTTP ?

        • [^] # Re: Lien

          Posté par  . Évalué à 0.

          L'erreur du certificat non reconnu

          • [^] # Re: Lien

            Posté par  . Évalué à 0.

            Voila l'erreur en question (Error code: SEC_ERROR_UNKNOWN_ISSUER)

            • [^] # Re: Lien

              Posté par  . Évalué à 0.

              Très intéressant. Donc je ne suis pas le seul à avoir ce problème avec ce certificat en particulier. J'ai installé Linux Mint 20.2 Cinnamon mais en conservant tout mon dossier home et donc mon ancien profil Firefox. Je suppose que ton profil est aussi ancien ? Il y a eu quelque chose dans Firefox à un moment donné qui l'empêche d'authentifier ce certificat.

            • [^] # Re: Lien

              Posté par  . Évalué à 0.

              J'avais mal lu. C'est normal que tu aies l'erreur si tu as supprimé les certificats Quo Vadis (ce qu'il ne fallait pas faire). J'ai bien ces certificats : https://wtf.roflcopter.fr/pics/NVvkucNK/Qq0lTtGU.png

              • [^] # Re: Lien

                Posté par  . Évalué à 1.

                Il manque le certificat intermédiaire "QuoVadis Global SSL ICA G3"
                screenshot FF.

                Ce certificat n'est pas inclus dans Firefox, mais devrait être téléchargé et validé automatiquement puisqu'il est signé par "QuoVadis Root CA 2 G3", qui lui, est bien présent dans ton FF.

                Reste à comprendre pourquoi ce certificat intermédiaire n'a pas été récupéré automatiquement par FF.

                • [^] # Re: Lien

                  Posté par  . Évalué à 0.

                  Je n'ai pas ce certificat non plus dans le Firefox ma machine virtuelle et pourtant, ça passe, le chiffrement se fait.

                  • [^] # Re: Lien

                    Posté par  . Évalué à 2.

                    Un point qui pourrait être intéressant à vérifier c'est si c'est bien le même certificat de la CA entre le PC et la VM (même empreinte ?).

                    • [^] # Re: Lien

                      Posté par  . Évalué à 0. Dernière modification le 16 août 2021 à 11:15.

                      Je viens de vérifier les 5 certificats QuoVadis que j’ai sur mon poste et dans la VM, ils ont chacun la même empreinte sha256 (du moins à l'affichage).

                • [^] # Re: Lien

                  Posté par  . Évalué à 1. Dernière modification le 15 août 2021 à 20:20.

                  Il manque le certificat intermédiaire "QuoVadis Global SSL ICA G3"

                  Le serveur étant bien configuré, il transmet toute la chaîne de certification y compris le certificat intermédiaire. Il n'a donc pas besoin d'être connu par Firefox.

      • [^] # Re: Lien

        Posté par  . Évalué à 0. Dernière modification le 15 août 2021 à 11:00.

        J'ai aussi supprimé les certificats de QuoVaids. J'ai refait un sudo dpkg-reconfigure ca-certificates, les certificats QuoVadis ont été rajoutés et j'ai toujours l'erreur de certificat sur la plateforme de paiement de la Société Générale. Vraiment bizarre.

  • # forum ?

    Posté par  . Évalué à 10.

    IMHO ce contenu a plus sa place dans les forums que dans les journaux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.