Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1423 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Question pour les "experts" en sécurité (certificat et usurpation)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question pour les "experts" en sécurité (certificat et usurpation)

n°951792
Industrial​ity
Posté le 22-11-2016 à 15:05:23  profilanswer
 

Bonjour, je bosse dans l'IT et même si les certificat n'est pas mon cœur de métier je m'y intéresse.
 
J'avais une simple question dans le cas de la signature numérique :
 
Je connais le principe de la signature et son mécanisme, hors j'ai un question.
 
Dans le cas d'un envoie A vers B.
 
Le seule moyen pour moi d'usurper l’identité d'une personne A envoyant un message signé et une attaque type "man in the middle" par C.
 
A -> C -> B
 
C'est à dire intercepter le message de A, C en change le certificat (usurpé) et la signature publique, puis le renvoyer à son destinataire B. B croit donc avoir affaire à A alors que c'est C.
 
J'avais donc une question, qu'est ce qui empêche C d'usurper l'identité de A ?  
 
Qu'est ce qui empêche C de réclamer un certificat à un CA quelconque avec les informations de A et donc avoir un certificat valide usurpant l'identité de A ?
 
Il y a plusieurs CA dans le monde, est-ce qu'elles se parlent entre-elles ? Qu'est ce qui empêche certaines d’émettre des doublons ?  
 
J'avoue ne pas comprendre.
 
Sur un infra informatique on a pas se problème, le CA est local et privé, il fourni un certificat par machine/user, mais là on est sur des organismes publiques, n'y a-t-il par risque de couacs ?  
 
Merci pour votre éclairage  :D   :jap:


Message édité par Industriality le 22-11-2016 à 15:05:56
mood
Publicité
Posté le 22-11-2016 à 15:05:23  profilanswer
 

n°951805
ccp6128
Syntax error
Posté le 22-11-2016 à 17:59:32  profilanswer
 

Un CA est justement censé faire le boulot pour lequel on le paie, à savoir vérifier l'identité de ses clients.
 
Le souci est qu'en pratique ca arrive régulièrement, que ce soit par erreur ou pour des raisons politiques ou pratiques, qu'un CA refile un certif à un tiers.
 
Si tu t'appelles Maurice et que tu veux un CA pour usurper Google, effectivement tu auras un peu de mal, par contre si tu es un gouvernement ou une grosse boite qui vend par exemple des firewalls / reverse proxy, tu pourras toujours te débrouiller pour en obtenir un.

n°951920
Industrial​ity
Posté le 23-11-2016 à 10:53:52  profilanswer
 

Ouai donc faut faire confiance au tiers de confiance :D
 
Putain ça craint quand même :(

n°959027
san marco
tune up - turn loud
Posté le 17-01-2017 à 20:43:11  profilanswer
 

Industriality a écrit :

Ouai donc faut faire confiance au tiers de confiance :D

 

Putain ça craint quand même :(

 

non ça craint pas.
ca craint moins qu'un certificat d'un organise inconnu.

 


en local, ca peut craindre aussi
t'imagine : tu sais qu'il faut créer une exception pour accepter le certif ex: tes users connaissent le trick...

 

si un type te fait un MIM et monte un proxy pour intercepter tes flux, tes users vont accepter ou monter une exception sans réfléchir :)
si t'as monté un service de validation... t'es sur que tes certifs sont en lieu sûrs et répondent aux critères d'intégrité, authenticité ?


Message édité par san marco le 17-01-2017 à 20:44:07

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Question pour les "experts" en sécurité (certificat et usurpation)

 

Sujets relatifs
VPN question !?Fibre Optique des FAI - Failles de sécurité dévoilées
question sur les switch internet dans le tableau de communicationYahoo Mail et leurs problèmes de sécurité
Question sur pont réseaux[Question bête] Choisir son répartiteur/doubleur cable coaxial
Free et la non sécurité de ses serveurs mails!Question de base, mais question quand même
aide problème de sécurité yahooRenouvellement Certificat pour VPN SSTP Server 2008
Plus de sujets relatifs à : Question pour les "experts" en sécurité (certificat et usurpation)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR