[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Firefox et gestion des certificats électroniques


From "Jean-Baka Domelevo-Entfellner" <domelevo at gmail dot com>
Subject Firefox et gestion des certificats électroniques
Date Mon, 26 Jun 2006 11:50:06 +0200

Salut à tous,
Je me souviens qu'à propos du site de l'administration fiscale
(www.impots.gouv.fr), on avait parlé avec certains membres de Gulliver
de la gestion des certificats par le navigateur. Dans la suite de ce
mail je prends l'exemple de Firefox, simplement parce que c'est celui
que j'utilise. Des comportements similaires doivent logiquement
apparaître avec d'autres navigateurs.

Pour ceux qui ne seraient pas au courant, disons en bref que certains
sites (dont celui cité plus haut) authentifient l'utilisateur une
première fois de façon "sûre" en lui demandant de rentrer tout un tas
d'informations qu'il est censé être le seul à posséder. Une fois que
c'est fait, le site distant calcule un certificat, le chiffre et
l'installe sur la machine de l'usager, dans un endroit où le
navigateur sait le trouver. Aux visites suivantes du même site,
l'utilisateur sera immédiatement authentifié dès lors que le site en
question aura vérifié la présence de son certificat sur la machine à
partir de laquelle l'usager se connecte. Dans le cas du site de
l'administration fiscale, c'est assez critique comme authentification
puisqu'on accède ensuite immédiatement à l'espace contenant toutes les
données fiscales de la personne.

En bref, je m'interroge sur la sécurité du comportement par défaut de
Firefox: pour exporter mon certificat la dernière fois (exporter,
c'est se donner le moyen ensuite de copier le certif sur une autre
machine), je n'avais pas eu besoin d'entrer le moindre mot de passe.
C'est exporté par Firefox sous forme d'un fichier "PKCS #12", dénoté
par l'extension ".p12". J'ai aujourd'hui cherché à voir comment en
définir un, et j'ai effectivement trouvé ça :
menu Edit -> Preferences -> onglet Advanced -> sous-onglet Security ->
bouton Security Devices.

Et là-dedans on voit que le "software security device" du module de
gestion des certificats (PKCS) possède un bouton "Change Password" non
grisé... Je clique dessus, et mon mot de passe était à "(not set)"...
J'en ai mis un, et depuis je suis soulagé de voir qu'on me le demande
lorsque je tente d'exporter un certif.

Bref, tout ça pour dire que par défaut il n'y a aucun mot de passe,
même lorsqu'on installe un certif pour la première fois on n'a pas de
warning nous disant que notre infrastructure de gestion des
certificats n'est pas protégée... De plus, quand on exporte, il y a
les droits en lecture sur le certificat exporté pour tout le monde, ce
que je trouve aussi un peu limite.

Bref, faites gaffe !

Amicalement,
Jean-Baka.

P.S. C'était aussi pour répondre (pas méchamment) aux gens de Gulliver
qui me disaient que forcément il y avait un password pour protéger
l'exportation de certif...