Pour le boulot, ma boite est partenaire
avec une société pour gérer une partie des traitements dans un
contexte ultrasécurisé. Je suis abonné à leur extranet pour
récupérer de la documentation. L'extranet n'a pas spécialement
besoin d'être sécurisé mais la taule en question se veut
exemplaire pour montrer son sérieux.
A noter que je suis abonné mais je
n'ai pas besoin de l'être. Je le maintiens au cas où on aurait
besoin en urgence d'une information et qu'un de mes collègues soit
absent. Ceci explique que je ne sois pas allé sur le site en
question depuis plus de six mois.
Mercredi, je reçois un mail me disant
d'aller sur le site en question pour changer mon mot de passe. Je me
connecte, le machin me dit que je n'ai pas les bons certificats ce
qui s'explique par le fait que j'ai changé de PC depuis la dernière
fois. Je recharge les certificats sans la moindre difficulté mais,
au moment de changer de mot de passe, je me trouve avec une page qui
ne se charge pas, comme si c'était du Flash. Nous n'avons pas les
droits administrateurs de nos postes donc ne pouvons télécharger de
machin pour utiliser Flash. Je change de navigateur. Impossible de
modifier les paramètres pour me connecter à internet via le proxy.
J'en teste un autre, impossible de charger les certificats.
J'allais dire adieux à mes accès à
ce site inutile quand j'ai eu un coup de génie. Je me suis envoyé
le mail sur ma boite personnelle. Grâce à Inbox, j'ai dit :
rappelle-moi demain soir.
Le lendemain soir, j'étais en vacances
chez ma mère, j'ai cliqué. En trente secondes, j'avais chargé les
certificats et changé le mot de passe.
Les ânes ! Je me demande bien
à quoi servent toutes leurs protections informatiques et les couches
de certificats...
Aparté technique ou la
sécurité pour les nuls diablement vulgarisée :
Les « certificats »
qu'ils m'envoient sont des trucs qui permettront à mon PC ou aux
bouts de codes qu'ils y chargent d'authentifier le serveur auquel il
se connecte. Par exemple, pour vérifier le mot de passe, il va
m'envoyer une clé de chiffrement. Avec cette clé de chiffrement,
mon PC va chiffrer mon mot de passe pour l'envoyer au serveur en
question. Il pourra la déchiffrer avec sa clé de déchiffrement. Et
hop ! Si je puis me permettre.
Le certificat chargé sur le poste
permet à mon PC de vérifier, par un autre mécanisme
cryptographique, que la clé de chiffrement est bien
« certifiée » émise par le serveur en question. Ainsi,
si la ligne internet est piratée et que mon PC se connecte à un
faux serveur qui voudrait récupérer mon mot de passe (par
exemple), cela ne fonctionnerait pas vu qu'il n'arriverait à
authentifier la clé fournie par le faux serveur.
Ceci est complètement con. La
preuve : avec le PC de ma mère, j'ai réussi à charger les
certificats. Or, personne ne peut me confirmer que c'est le bon
serveur qui a fourni les certificats.
Ainsi, les certificats fournis par
le serveur en question ne servent pas à grand chose, en fait, ils
feraient mieux d'utiliser ceux de SSL ou HTTPS sans se poser de
question...
De toute manière, aucune sécurité
forte ne peux être mise en œuvre sans authentification du client ce
qui nécessite qu'on lui refile des certificats autrement que par la
ligne internet (par un token, une carte à puce, voire à la main ce
qui est encore le plus simple...).
joliment vu, j'ai eu le problème chez un client il y a peu. et on fait exactement la même solution. il l'a fait de chez lui.
RépondreSupprimerle titre est parfait
Ouf !
Supprimer