Question pour les "experts" en sécurité (certificat et usurpation) - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 22-11-2016 à 17:59:32
Un CA est justement censé faire le boulot pour lequel on le paie, à savoir vérifier l'identité de ses clients.
Le souci est qu'en pratique ca arrive régulièrement, que ce soit par erreur ou pour des raisons politiques ou pratiques, qu'un CA refile un certif à un tiers.
Si tu t'appelles Maurice et que tu veux un CA pour usurper Google, effectivement tu auras un peu de mal, par contre si tu es un gouvernement ou une grosse boite qui vend par exemple des firewalls / reverse proxy, tu pourras toujours te débrouiller pour en obtenir un.
Marsh Posté le 23-11-2016 à 10:53:52
Ouai donc faut faire confiance au tiers de confiance
Putain ça craint quand même
Marsh Posté le 17-01-2017 à 20:43:11
Industriality a écrit : Ouai donc faut faire confiance au tiers de confiance Putain ça craint quand même |
non ça craint pas.
ca craint moins qu'un certificat d'un organise inconnu.
en local, ca peut craindre aussi
t'imagine : tu sais qu'il faut créer une exception pour accepter le certif ex: tes users connaissent le trick...
si un type te fait un MIM et monte un proxy pour intercepter tes flux, tes users vont accepter ou monter une exception sans réfléchir
si t'as monté un service de validation... t'es sur que tes certifs sont en lieu sûrs et répondent aux critères d'intégrité, authenticité ?
Marsh Posté le 22-11-2016 à 15:05:23
Bonjour, je bosse dans l'IT et même si les certificat n'est pas mon cœur de métier je m'y intéresse.
J'avais une simple question dans le cas de la signature numérique :
Je connais le principe de la signature et son mécanisme, hors j'ai un question.
Dans le cas d'un envoie A vers B.
Le seule moyen pour moi d'usurper l’identité d'une personne A envoyant un message signé et une attaque type "man in the middle" par C.
A -> C -> B
C'est à dire intercepter le message de A, C en change le certificat (usurpé) et la signature publique, puis le renvoyer à son destinataire B. B croit donc avoir affaire à A alors que c'est C.
J'avais donc une question, qu'est ce qui empêche C d'usurper l'identité de A ?
Qu'est ce qui empêche C de réclamer un certificat à un CA quelconque avec les informations de A et donc avoir un certificat valide usurpant l'identité de A ?
Il y a plusieurs CA dans le monde, est-ce qu'elles se parlent entre-elles ? Qu'est ce qui empêche certaines d’émettre des doublons ?
J'avoue ne pas comprendre.
Sur un infra informatique on a pas se problème, le CA est local et privé, il fourni un certificat par machine/user, mais là on est sur des organismes publiques, n'y a-t-il par risque de couacs ?
Merci pour votre éclairage
Message édité par Industriality le 22-11-2016 à 15:05:56