Une autorité de certification brésilienne, approuvée uniquement par Microsoft, a émis un certificat pour google.com

 (follow.agwa.name)
1 points par GN⁺ 2024-12-01 | 1 commentaires | Partager sur WhatsApp
  • Andrew Ayeragwa14h
    • Une autorité de certification brésilienne est approuvée par Microsoft et a émis un certificat pour google.com, probablement sans autorisation. Cela permettrait d’intercepter le trafic vers Google dans Edge et d’autres applications Windows (à l’exception de Chrome et Firefox). Microsoft connaît bien l’historique des problèmes liés à cette autorité de certification : l’entreprise a fait part de ses inquiétudes en 2021, et d’autres problèmes ont encore été soulevés lors des discussions publiques du CCADB en 2022. Espérons que cet incident déclenchera un changement. Les utilisateurs de Windows méritent mieux.
  • Andrew Ayeragwa12h
    • Comme exemple de l’incompétence de cette autorité de certification : le fait qu’un sujet de certificat contienne un numéro de série de filiale de Google ne signifie pas qu’il a été approuvé par Google. Une autorité de certification peut mettre ce qu’elle veut dans ce champ, et celle-ci ne vérifie manifestement pas correctement le contenu qu’elle inscrit dans les certificats.
  • Andrew Ayeragwa10h
    • Les proxys d’attaque de l’homme du milieu utilisés en entreprise sont extrêmement nuisibles.

À lire aussi

1 commentaires

 
GN⁺ 2024-12-01
Avis sur Hacker News

  • Des inquiétudes existent concernant l’arrêt par l’ICP-Brasil de l’émission de certificats SSL/TLS publics

    • Il y a eu un cas où quelqu’un a contourné l’interdiction d’émettre des certificats publics et ignoré les règles CAA de Google
    • Certains souhaitent que cette autorité de certification soit interdite sur les OS de Microsoft

  • L’ICP-Brasil est un organisme gouvernemental chargé des questions liées à la signature numérique

    • Il joue un rôle important dans la signature de contrats numériques, l’accès aux déclarations fiscales, etc.

  • Chrome et Firefox ne font déjà plus confiance à cette autorité de certification

    • Le fait que Microsoft/Windows fasse confiance à une autorité que les autres grands navigateurs ne jugent pas fiable semble être une situation encore pire

  • Certains commentaires pointent des défauts du système

    • Ces défauts étaient déjà perçus il y a 15 ans, à l’époque de l’utilisation de la banque en ligne
    • Lorsqu’on demandait à une banque quel était l’émetteur de son certificat, elle était incapable de répondre
    • Le processus repose sur l’ignorance des questions de sécurité et sur une confiance aveugle

  • Certains estiment que « les utilisateurs de Windows méritent mieux »

    • Ils évoquent le manque d’intérêt de Microsoft pour ses utilisateurs ainsi que le risque de poursuites

  • Certains jugent que Microsoft manque de transparence dans la manière dont l’entreprise accorde sa confiance aux autorités de certification

    • Un site web raisonnable devrait utiliser un certificat approuvé par les grands navigateurs comme Chrome

  • Certains se demandent s’il existe un moyen d’utiliser le magasin de confiance de Chrome sur Windows/Edge

  • Certains aimeraient connaître la liste des autorités de certification liées à des États

  • Certains estiment que le message d’origine ne permet pas de savoir clairement si ce problème était intentionnel ou dû à une erreur

  • Certains pensent qu’il faudrait un système dans lequel des organismes indépendants accordent leur confiance aux autorités de certification et où les utilisateurs peuvent prendre en compte l’avis de plusieurs organismes

  • Certains estiment que le vrai problème est que les entreprises deviennent trop grandes