Quand Comodo donne ses certificats SSL à n'importe qui - Korben
jeudi 19 mars 2015 à 13:15Des p'tits liens 19/03/2015
Il y a tellement d'autorité sde certification que ce genre de chose doit arriver plus souvent qu'on le pense
(Permalink)
GuiGui's Show - Liens 19/03/2015
Ho, excellent exemple de social engineering avec une autorité de certification x509. Bon après Comodo (pwned en mars 2011) et AC x509, what did you expect ? :)
« Au cas où vous en douteriez encore, les Finlandais sont pleins d'humour. Dernier exemple en date avec cet informaticien finlandais qui s'est amusé, il y a 2 mois, à enregistrer une adresse hostmaster@live.fi sur le service de messagerie Live de Microsoft, pour faire une bonne blague.
Avec cette adresse à l'allure très corporate "Microsoft", il a alors écrit à Comodo, la société qui délivre des certificats de sécurité SSL / TLS qui sont reconnus officiellement par les navigateurs, pour demander de lui générer un certificat "Microsoft" officiel.
Et comme chez Comodo, c'est la confiance qui prime, il a bien reçu ce certificat par mail. Tout simplement et sans jamais fournir de pièce d'identité. »
(Permalink)
Librement Shaarli 19/03/2015
Et donc. Si on ne peut plus faire confiance aux autorités de certification, il va falloir trouver une nouvelle technologie pour les relations de confiance...?
(Permalink)
Il y a tellement d'autorité sde certification que ce genre de chose doit arriver plus souvent qu'on le pense
(Permalink)
GuiGui's Show - Liens 19/03/2015
Ho, excellent exemple de social engineering avec une autorité de certification x509. Bon après Comodo (pwned en mars 2011) et AC x509, what did you expect ? :)
« Au cas où vous en douteriez encore, les Finlandais sont pleins d'humour. Dernier exemple en date avec cet informaticien finlandais qui s'est amusé, il y a 2 mois, à enregistrer une adresse hostmaster@live.fi sur le service de messagerie Live de Microsoft, pour faire une bonne blague.
Avec cette adresse à l'allure très corporate "Microsoft", il a alors écrit à Comodo, la société qui délivre des certificats de sécurité SSL / TLS qui sont reconnus officiellement par les navigateurs, pour demander de lui générer un certificat "Microsoft" officiel.
Et comme chez Comodo, c'est la confiance qui prime, il a bien reçu ce certificat par mail. Tout simplement et sans jamais fournir de pièce d'identité. »
(Permalink)
Librement Shaarli 19/03/2015
Et donc. Si on ne peut plus faire confiance aux autorités de certification, il va falloir trouver une nouvelle technologie pour les relations de confiance...?
(Permalink)