AVERTISSEMENT : Afin de lire ce billet dans les bonnes conditions, il est préférable de le consulter directement sur sa page d'origine, avec Javascript activé.
Si vous êtes déjà passés à Firefox 3, vous avez dû noter un gain de rapidité, de puissance et d'ergonomie. Ce que vous ne savez peut-être pas, c'est qu'il fait très très très attention là où vous allez pour éviter que vous ne mettiez le pied dans un get-apens.
Des malandrins s'amusent à monter le protocole de leur serveur web (la première partie d'une IRI) de http://
à https://
afin d'obtenir la petite serrure fermée en bas, qui vous fera croire que vous êtes en sécurité.
Seulement, pour installer un serveur en https, rien n'est plus facile. Votre communication est peut-être cryptée, mais qui dit que le site en face est effectivement ce qu'il prétend être ?
Afin de résoudre cette question, il vaut mieux le compléter d'un passeport biométrique certifié par une autorité indépendante, qu'on appelle un “pair de confiance”. On utilise un procédé d'échange de clés cryptées, tout droit issu des protocoles d'espionnages de la Guerre Froide. Le serveur m'envoie un message codé, mon navigateur le décrypte grâce à une clé de décryptage fourni par un site “tiers de confiance”. Une espèce d'hologramme qui garanti que la carte de crédit n'est pas une bête photocopie, mais bien son original certifié.
Démonstration : Cette page est supposée m'informer sur les risques de sites web contrefaits. Si je clique dans Fx3...
(comme d'hab, on clique sur la première image, puis flèche droite pour défiler)
Nous ne remercions jamais assez les spécialistes du site CERT-IST sur la sécurité informatique pour avoir commis cette superbe bourde : certifier par leur site web leur propre certificat d'authenticité de leur site web.
Magnifique.
3 réactions
1 De heho - 14/11/2008, 20:29
il vaut mieux le compléter d'un """passeport biométrique """ ?????
2 De Da Scritch - 25/05/2010, 08:56
Bon, comme vous avez pu le constater, ces pages d'erreur sont alourdies de textes pas toujours compréhensible. La MoFo travaille sur une meilleure écriture de celles ci http://www.owlfolio.org/htmletc/ssl...
3 De da scritch net works - 15/09/2011, 10:27
SSL est-elle ?
Une fois de plus, la sécurité a été le parent pauvre d'une politique financière. Ça tombe mal pour une entreprise qui vend de la confiance. Pourquoi paie-t-on pour des chiffres si mal gardés ? Pour une poignée de certificats : Du chiffre, du code, du...