Affaire DigiNotar : Mozilla fait pression sur les autorités de certification
Et exige l'audit complète de leur sécurité avant le 16 septembre

Le , par Idelways, Expert éminent sénior
Toujours dans les répercussions de la récente intrusion dans les systèmes DigiNotar, la fondation Mozilla hausse le ton envers les autorités de certification après avoir été elle même victime de l'un des 500 certificats falsifiés par le hacker iranien ComodoHacker.

Dans une lettre ouverte urgente, Kathleen Wilson, responsable du module de certification de Firefox et Thunderbird, somme les autorités de certification d'auditer sérieusement en cinq volets dûment précisés, leurs systèmes de sécurité à la recherche de toute trace de compromission.

Sans s'étaler sur les répercussions en cas de manquement, Mozilla exige des 54 autorités qui participent à son programme root (certificat racine) un rapport par email avant le 16 septembre 2011, probablement sous peine de subir le même sort que le hollandais DigiNotar, radié des logiciels de la fondation jusqu'à nouvel ordre, pour manquement aux rudiments de la sécurité à cette échelle.

Les mesures que Mozilla attend incluent l'audit des Infrastructures à clés publiques (PKI), le passage au crible des systèmes de leurs ordinateurs et de ceux de leurs autorités de certification subsidiaires et autres autorités de régulation, à la poursuite de tout signe d'intrusion.

La fondation exige en outre la mise en place de sérieuses mesures de sécurité, comme un système de blocage automatique en cas d'intrusion et l'obligation de mettre en place une authentification multifacteur pour les comptes sensibles émetteurs de certificats.

À savoir que tous les certificats émis par une autorité révoquée du programme root de Mozilla, se verront rejetés sur Firefox et Thunderbird.

Source : lettre de Mozilla

Et vous ?

Que pensez-vous du message de la fondation Mozilla ?
Et des mesures de sécurité qu'elle exige ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Neko Neko - Membre chevronné http://www.developpez.com
le 09/09/2011 à 19:45
Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
Proposer son aide, donner des conseils oui, exiger non.
Avatar de transgohan transgohan - Expert confirmé http://www.developpez.com
le 09/09/2011 à 20:37
Pourriez-vous avoir l’extrême amabilité, si vous possédez évidemment le temps d'accéder à notre requête, voire de nous lire, d'effectuer cet audit ?
Avatar de GCSX_ GCSX_ - Membre confirmé http://www.developpez.com
le 09/09/2011 à 21:04
Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...
Avatar de Michaël Michaël - Expert éminent http://www.developpez.com
le 09/09/2011 à 22:46
C'est surtout que tu fais pas un audit complet + rapport en moins d'une semaine sur des systèmes aussi complexes...
Avatar de - http://www.developpez.com
le 09/09/2011 à 22:50
Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...

ils prenent un risque qui pour eux est justifier pourquoi sa ferait rire vu qu'il son conscients de ce qu'il fonts ?
Avatar de z3d.web z3d.web - Membre à l'essai http://www.developpez.com
le 09/09/2011 à 22:52
Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

La communication avec votre banque est en cours de sécurisation....
Hmm.. Waiting... A hacker need your information ! Will you give him ?
No ?! Humm... absolute yes... I'm your Bank
Avatar de thorium90 thorium90 - Membre averti http://www.developpez.com
le 10/09/2011 à 1:25
Complètement d'accord avec Mozilla, c'est tellement inadmissible de devoir douter de la viabilité de ce qui est censée être la source de notre confidentialité sur les aspects les plus délicats comme les transactions bancaires et autre.

Mais bon après http://www.developpez.com/actu/29815...a-technologie/ et cette nouvelle attaque, ca promet etre telement !!! WOUAAAAWE !!! la prochaine attaque de ce type
Avatar de Neko Neko - Membre chevronné http://www.developpez.com
le 10/09/2011 à 9:20
Citation Envoyé par z3d.web  Voir le message
Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

La communication avec votre banque est en cours de sécurisation....
Hmm.. Waiting... A hacker need your information ! Will you give him ?
No ?! Humm... absolute yes... I'm your Bank

Qui crois qu'un système peut être complètement sécurisé ne connais rien à la sécurité.
Le mec qui a piraté DigiNotar a "contourné le module matériel de sécurité HSM sur le système d’exploitation OpenBSD ainsi que son gestionnaire de sécurité RSA et SafeSign Token pour accéder au système".
Tu crois qu'un audit a priori aurait détecté que ce genre d'intrusion était possible ?
Avatar de pilate pilate - Membre du Club http://www.developpez.com
le 11/09/2011 à 23:03
Avec le hacker oui
Avatar de Flaburgan Flaburgan - Modérateur http://www.developpez.com
le 12/09/2011 à 10:04
Citation Envoyé par Neko  Voir le message
Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
Proposer son aide, donner des conseils oui, exiger non.

Pour qui se prennent-ils ?
Le client, la parole du net...

Il faut bien que quelqu'un s'inquiète de ça, c'est la base même de l'Internet... Ils ont le mérite de montrer que ça inquiète.
Offres d'emploi IT
Webmaster Wordpress Miami
MCG - Etats-Unis - MIAMI
Commando - développeur rapide H/F
Lunalogic - Ile de France - Ile-de-france
Technicien en télécommunications (H/F)
Links IT SERVICES - Provence Alpes Côte d'Azur - Côte d'azur/Marseille

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil