Auteur Sujet: Phishing: 14 000 certificats SSL contenant "PayPal" délivrés par Let's Encrypt  (Lu 7373 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Oui mais c'est COOL.

d'ailleurs .cool existe: https://www.iana.org/domains/root/db/cool.html

la liste complete des gTLD (1561 a cette heure):  https://www.iana.org/domains/root/db

et Google en a 43 la dedans , ceux au nom de 'Charleston Road Registry Inc'

un gTLD coute $185 000 + $20 000/an

ca fait une facture de $8 millions pour Google et $860 000/an de frais  ;D une broutille pour eux

et Amazon en a 51 ...

corrector

  • Invité
.viva
generic
Saudi Telecom Company
.vivo
generic
Telefonica Brasil S.A.
.vlaanderen
generic
DNS.be vzw

et .vivien?

corrector

  • Invité
Signalement filoutage Thunderbird
« Réponse #14 le: 31 mars 2017 à 22:13:33 »
Google propose ce service me semble-t-il, c'est intégré dans les navigateurs.
Dans Thunderbird tu as la possibilité de signaler un courriel comme tromperie. Tu es alors redirigé vers Google, tu confirmes que tu es un "humain" (*), et voilà, ça alimente la base de données.

(*) donc un chien ne peut pas faire de signalement, c'est discriminatoire

corrector

  • Invité
d'ailleurs .cool existe: https://www.iana.org/domains/root/db/cool.html

la liste complete des gTLD (1561 a cette heure):  https://www.iana.org/domains/root/db
(...)
un gTLD coute $185 000 + $20 000/an
Un joli business à vendre du lopin virtuel.

Si tu ne peux pas localiser un filon d'or, invente-le!

FloBaoti

  • Abonné MilkyWan
  • *
  • Messages: 1 300
  • 34
En y regardant de plus près, Let's Encrypt implèmente bien une vérification sur Google Safe Browsing, pour éviter les phishing. A voir s'ils utilisent les résultats correctement ensuite...
https://github.com/letsencrypt/boulder/blob/master/va/gsb.go

corrector

  • Invité
Quel intérêt?

FloBaoti

  • Abonné MilkyWan
  • *
  • Messages: 1 300
  • 34

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Ce n'est pas le seul client compatible LE donc l'intérêt est nul.

FloBaoti

  • Abonné MilkyWan
  • *
  • Messages: 1 300
  • 34
Ce n'est pas le seul client compatible LE donc l'intérêt est nul.
:o Boulder est le serveur Let's Encrypt, ce n'est pas à faire côté client ça bien évidemment.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Phishing ssl
« Réponse #21 le: 06 avril 2017 à 18:46:41 »
A mon avis, les autres autorités doivent simplement faire une vérification anti-phishing avant de signer un certificat, ce que ne fais pas Let's Encrypt...
Ton avis est injustifié : ce n'est pas le cas, ils ne font rien de plus que let's encrypt (ha si, ils te facturent ..  ::) )

Citer
« De plus, la nouvelle interface utilisateur de Chrome affiche "Sécurisé" à côté de chaque site disposant d’un certificat SSL valide et une configuration HTTPS. Quelle est la probabilité qu'un utilisateur interprète mal la signification de cela et voie un site d'hameçonnage comme étant légitime ? »
Je trouve que c'est très clair, pourtant : "suis-je bien sur <FQDN> ? Oui, je suis bien sur <FQDN>, et pas chez le voisin". Le machin vert "secure" ne dit que cela, rien de plus, rien de moins.

Après, le soucis est que les gens vont chez le voisin en pensant rentrer chez eux ..

Gabi

  • Abonné SFR THD (câble)
  • *
  • Messages: 94
Le problème est aussi que pendant longtemps, on a éduqué les gens en leur disant Si y'a le cadenas vert, c'est bon !.

Clairement, l'effort d'éducation sur le phishing n'a pas encore été fait...

Personnellement, je ne pense pas que ce soit aux CA à faire le tri en profondeur : utiliser les API SafeBrowsing/SmartScreen pour éviter de délivrer des certificats à des domaines qui, de toute façon, seront blacklistés par les navigateurs me semble largement suffisant.

corrector

  • Invité
Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an
Plus de 14 000 nom de domaines contenant le mot "PayPal" ont été enregistrés par des enregistreurs (registrars) et acceptés par des registres (registers)  à des sites de phishing, en l'espace de ?

(corrigé)