Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Certificat EV et phishing

Bonjour,

Je suis en train d'étudier une solution anti-phishing.
J'aimerais savoir si le manque de rigueur de certaines autorités de certification pourrait faire qu'un pirate puisse obtenir sans trop de difficulté un certifcat EV (Extended Validation).
Est-ce possible d'obtenir un certificat EV temporaire.
Bref, est-ce que l'identité d'un site web certifié EV (tous les éléments de la page sont EV) est forcément sûre ?

Merci
Salut,

Le CA/Browser Forum définit quels types d’entités sont en droit de posséder des certificats EV. Les entités suivantes le sont, à condition qu’elles soient immatriculées et approuvées par une agence d’immatriculation officielle de leur juridiction. L’acte constitutif, certificat, licence ou équivalent qui en découle doit être vérifiable auprès de cette agence d’immatriculation.
* Organismes gouvernementaux
* Sociétés par actions
* Sociétés en nom collectif
* Associations sans personnalité morale
* Entreprise individuelle

Voilà pour la théorie. A noter que "Entreprise individuelle" reste assez vague car n'importe qui peut en créer une.

En pratique, le site StartCom.org propose de créer des certificats de tout type, gratuit ou payant (sachant qu'un phisher peut tres bien payer un certificat pour avoir sa barre verte).
Pour l'EV cf http://www.startssl.com/?app=30 , mais payant (150$)
Je n'ai pas essayer de créer un EV. Teste si tu peux, tiens nous au courant !
Salut,

Le CA/Browser Forum définit quels types d’entités sont en droit de posséder des certificats EV. Les entités suivantes le sont, à condition qu’elles soient immatriculées et approuvées par une agence d’immatriculation officielle de leur juridiction. L’acte constitutif, certificat, licence ou équivalent qui en découle doit être vérifiable auprès de cette agence d’immatriculation.
* Organismes gouvernementaux
* Sociétés par actions
* Sociétés en nom collectif
* Associations sans personnalité morale
* Entreprise individuelle

Voilà pour la théorie. A noter que "Entreprise individuelle" reste assez vague car n'importe qui peut en créer une.

En pratique, le site StartCom.org propose de créer des certificats de tout type, gratuit ou payant (sachant qu'un phisher peut tres bien payer un certificat pour avoir sa barre verte).
Pour l'EV cf http://www.startssl.com/?app=30 , mais payant (150$)
Je n'ai pas essayer de créer un EV. Teste si tu peux, tiens nous au courant !

Justement startssl.com est connu et ne délivre des certificats EV qu'après des vérifications lourdes et rigoureuses.
Ma question est : un pirate peut-il obtenir beaucoup plus facilement un certificat EV ? Je ne parle que du certificat EV, car je sais qu'un certificat autre (DV ...) est très facile à obtenir.
Tu dis qu'un phisher peut très bien payer un certificat pour avoir sa barre verte. Tu parles donc de certification EV. Comment fait-il pour l'obtenir ? auprès de quelle autorité peut-il se passer de prouver tout ce qui habituellement requis ?
Je pense juste que si j'étais un phisher motivé, je monterai mon entreprise uni-personnelle, je créé un site web, et ensuite je pourrai réclamer un EV au titre "Entreprise individuelle".
Dans la théorie cela est forcément possible, après en pratique je ne sais pas. Car monter son entreprise et réclamer un EV demande des papier d'identité strict, il est donc difficile d'y échapper. Et si on va dans ce sens le phisher sera facilement retrouvable par les autorités.

Par ailleurs, ca ne m'étonnerai pas que certains sites/groupes de personnes fournissent des EV avec le minimum d'informations, comme en Russie ou en Chine par hasard.