nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Perspectives contrôle l'authenticité des sites sous Firefox
Un plug-in créé par des chercheurs américains permet de jauger le niveau de sécurité des certificats autodéclarés.
Développé par des ingénieurs en science informatique de l'université américaine Carnegie Mellon (Pennsylvanie), le module pour Firefox
Perspectives a pour objectif de protéger les internautes contre les attaques dites de l'' homme du milieu '
(man in the middle
attacks). Ce mode d'attaque, souvent associé à des hot spots Wi-Fi mal sécurisés, permet à un pirate d'intercepter les connexions entre un particulier et un site.
Quand vous vous connectez au site d'une banque, par exemple, votre navigateur vérifie son certificat HTTPS. Ce ' passeport numérique ' permet de s'assurer que le serveur est bien celui qu'il prétend être
(authentification) et que la communication ne peut pas être lue ni modifiée par un intrus situé entre le client et le serveur (confidentialité et intégrité).
Dans le cas d'une attaque de l'' homme du milieu ', le pirate intercepte la communication et vous renvoie vers un faux site bancaire, lui-même doté d'un faux certificat le faisant passer pour un vrai. Etant en
confiance, vous tapez votre mot de passe et votre identifiant pour consulter vos comptes...
C'est pour éviter cela que les chercheurs américains vantent les mérites de Perspectives. Une fois installé dans Firefox, le module va vérifier l'authenticité du certificat en se connectant au même site que vous depuis
quatre serveurs de Carnegie Mellon.
Deux vérifications sont alors effectuées. Les serveurs de l'université s'assurent d'abord qu'ils trouvent le même certificat que votre navigateur. De plus, ils disposent d'un historique des certificats pour le site demandé (les
chercheurs ne précisent pas comment ils obtiennent cet historique). Il est alors possible de savoir si une modification a été récemment apportée, ce qui est généralement mauvais signe.
Longévité contre confiance
' Cette extension fonde le critère de "validité" d'un certificat sur sa longévité, alors que la sécurité des certificats SSL est fondée sur la confiance en des autorités de
certification ', précise Raphaël Marichez, de Hervé Schauer Consultants (HSC).
A l'instar de Verisign, d'Equifax ou de Thawte, ces autorités facturent leurs services entre 15 et 1 500 dollars. Beaucoup de gestionnaires de sites préfèrent alors s'en passer et créent eux-mêmes leurs propres certificats.
Mais très peu d'internautes vérifient par eux-mêmes l'authenticité d'un certificat et ils cliquent souvent sur OK lorsque le navigateur leur envoie une alerte. La fondation Mozilla a tenté d'y remédier avec Firefox 3 :
pour accéder à une page autocertifiée, il faut passer par une page d'alerte si virulente que, selon BetaNews, certains développeurs Web s'en sont émus.
Mais la ' solution ' Perspectives n'est pas forcément la panacée. ' Avec cette extension, on abandonne l'idée de chaîne de certification et on la contourne en implémentant une base de
connaissance de "bons" certificats. De plus, elle émettra de fausses alertes quand l'administrateur d'un site renouvellera ou modifiera un certificat. Il faut que ces administrateurs s'habituent à utiliser un véritable
certificat SSL s'intégrant dans une infrastructure à clé publique qui prévoit déjà tous les problèmes pouvant survenir (révocation, renouvellement, délégation, etc.) ', indique Raphaël Marichez.
Autre problème : la sécurité des serveurs de Perspectives, qui pourraient être plus facilement compromis que ceux des autorités de certification.
Pour Thomas Gayet, directeur adjoint du Cert-Lexsi, cette extension met surtout en avant le problème des certificats autosignés : ' La confiance qu'on peut leur accorder est beaucoup plus faible qu'à
l'égard d'un certificat délivré par une autorité de certification, qui peut exiger d'une entreprise un extrait Kbis et même une rencontre avec ses représentants pour vérifier son identité. '
Mais là non plus le risque zéro n'existe pas. Les contrôles d'identité ne sont pas toujours très pointus.
agrandir la photo
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
décu
de
odilederaie
, posté le 28 aout 2008 à 17h15
moi qui pensais que j'étais en sécurité avec firefox, je pense que je vais installer IE7 et certainement installer IE8 quand il sera disponible.
alerter le modérateur
rien a voir avec firefox
de
Jos31
, posté le 28 aout 2008 à 18h03
Euh l'attaque man in the middle n'a rien a voir avec Firefox, et concerne tout aussi bien IE.
Il s'agit juste d'une extension Firefox permettant d'etendre la vérification de l'authanticité d'un certificat de manière non conventionnelle.
IE ne vous apportera pas cette fonctionnalité et ne sera pas plus sur que firefox pour les connections sécurisées
Il s'agit juste d'une extension Firefox permettant d'etendre la vérification de l'authanticité d'un certificat de manière non conventionnelle.
IE ne vous apportera pas cette fonctionnalité et ne sera pas plus sur que firefox pour les connections sécurisées
alerter le modérateur
piratge
de
otto1
, posté le 28 aout 2008 à 18h01
La dernier fois et la seule fois que j'ai acheté par 01net je me suis fait piraté sur mon compte plus de 140 euro merçi
alerter le modérateur
faire attention!!!
de
pierre8888
, posté le 29 aout 2008 à 06h07
"La dernier fois et la seule fois que j'ai acheté par 01net je me suis fait piraté sur mon compte plus de 140 euro merçi "
si ta une carte bancaire corecte se genre de chose et remboursé immédiatement par l banque a condition que tu est pris toutes les mesures nécéssaire pour évité se genre de chose ;)
si ta une carte bancaire corecte se genre de chose et remboursé immédiatement par l banque a condition que tu est pris toutes les mesures nécéssaire pour évité se genre de chose ;)
alerter le modérateur
De l'autorité et l'historique
de
slim_amamou
, posté le 29 aout 2008 à 15h51
Les deux piliers de la confiance, et donc de la sécurité, ont toujours été de toutes façons : l'historique (le terme équivalent utilisé ici est "longévité") et l'autorité (le terme équivalent utilisé ici est "confiance").
l'historique à toujours été sous exploité dans le domaine de la sécurité. Alors qu'il présente l'avantage de ne pas nécessiter de tiers. C'est bien qu'il y ait cette recrudescence.
http://nomemoryspace.wordpress.com/2008/03/17/la-prothese-memorielle-limpact-(...)
l'historique à toujours été sous exploité dans le domaine de la sécurité. Alors qu'il présente l'avantage de ne pas nécessiter de tiers. C'est bien qu'il y ait cette recrudescence.
http://nomemoryspace.wordpress.com/2008/03/17/la-prothese-memorielle-limpact-(...)
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires