Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Affaire DigiNotar : Mozilla fait pression sur les autorités de certification
Et exige l'audit complète de leur sécurité avant le 16 septembre

Le , par Idelways

0PARTAGES

3  0 
Toujours dans les répercussions de la récente intrusion dans les systèmes DigiNotar, la fondation Mozilla hausse le ton envers les autorités de certification après avoir été elle même victime de l'un des 500 certificats falsifiés par le hacker iranien ComodoHacker.

Dans une lettre ouverte urgente, Kathleen Wilson, responsable du module de certification de Firefox et Thunderbird, somme les autorités de certification d'auditer sérieusement en cinq volets dûment précisés, leurs systèmes de sécurité à la recherche de toute trace de compromission.

Sans s'étaler sur les répercussions en cas de manquement, Mozilla exige des 54 autorités qui participent à son programme root (certificat racine) un rapport par email avant le 16 septembre 2011, probablement sous peine de subir le même sort que le hollandais DigiNotar, radié des logiciels de la fondation jusqu'à nouvel ordre, pour manquement aux rudiments de la sécurité à cette échelle.

Les mesures que Mozilla attend incluent l'audit des Infrastructures à clés publiques (PKI), le passage au crible des systèmes de leurs ordinateurs et de ceux de leurs autorités de certification subsidiaires et autres autorités de régulation, à la poursuite de tout signe d'intrusion.

La fondation exige en outre la mise en place de sérieuses mesures de sécurité, comme un système de blocage automatique en cas d'intrusion et l'obligation de mettre en place une authentification multifacteur pour les comptes sensibles émetteurs de certificats.

À savoir que tous les certificats émis par une autorité révoquée du programme root de Mozilla, se verront rejetés sur Firefox et Thunderbird.

Source : lettre de Mozilla

Et vous ?

Que pensez-vous du message de la fondation Mozilla ?
Et des mesures de sécurité qu'elle exige ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de z3d.web
Membre à l'essai https://www.developpez.com
Le 09/09/2011 à 22:52
Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

La communication avec votre banque est en cours de sécurisation....
Hmm.. Waiting... A hacker need your information ! Will you give him ?
No ?! Humm... absolute yes... I'm your Bank
8  0 
Avatar de thorium90
Membre averti https://www.developpez.com
Le 10/09/2011 à 1:25
Complètement d'accord avec Mozilla, c'est tellement inadmissible de devoir douter de la viabilité de ce qui est censée être la source de notre confidentialité sur les aspects les plus délicats comme les transactions bancaires et autre.

Mais bon après http://www.developpez.com/actu/29815...a-technologie/ et cette nouvelle attaque, ca promet etre telement !!! WOUAAAAWE !!! la prochaine attaque de ce type
6  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 09/09/2011 à 20:37
Pourriez-vous avoir l’extrême amabilité, si vous possédez évidemment le temps d'accéder à notre requête, voire de nous lire, d'effectuer cet audit ?
2  0 
Avatar de GCSX_
Membre confirmé https://www.developpez.com
Le 09/09/2011 à 21:04
Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...
2  0 
Avatar de Michaël
Expert éminent https://www.developpez.com
Le 09/09/2011 à 22:46
C'est surtout que tu fais pas un audit complet + rapport en moins d'une semaine sur des systèmes aussi complexes...
2  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 12/09/2011 à 10:04
Citation Envoyé par Neko Voir le message
Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
Proposer son aide, donner des conseils oui, exiger non.
Pour qui se prennent-ils ?
Le client, la parole du net...

Il faut bien que quelqu'un s'inquiète de ça, c'est la base même de l'Internet... Ils ont le mérite de montrer que ça inquiète.
2  0 
Avatar de
https://www.developpez.com
Le 09/09/2011 à 22:50
Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...
ils prenent un risque qui pour eux est justifier pourquoi sa ferait rire vu qu'il son conscients de ce qu'il fonts ?
2  1 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 10/09/2011 à 9:20
Citation Envoyé par z3d.web Voir le message
Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

La communication avec votre banque est en cours de sécurisation....
Hmm.. Waiting... A hacker need your information ! Will you give him ?
No ?! Humm... absolute yes... I'm your Bank
Qui crois qu'un système peut être complètement sécurisé ne connais rien à la sécurité.
Le mec qui a piraté DigiNotar a "contourné le module matériel de sécurité HSM sur le système d’exploitation OpenBSD ainsi que son gestionnaire de sécurité RSA et SafeSign Token pour accéder au système".
Tu crois qu'un audit a priori aurait détecté que ce genre d'intrusion était possible ?
0  1 
Avatar de pilate
Membre du Club https://www.developpez.com
Le 11/09/2011 à 23:03
Avec le hacker oui
0  2 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 09/09/2011 à 19:45
Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
Proposer son aide, donner des conseils oui, exiger non.
1  7