Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an
L'utilisation de paypal ou autre nom de marque dans un domaine n'est pas forcèment une usurpation. Un fournisseur de certificats n'est pas la police du net, ni l'institut de la propriété intellectuelle, ni le tribunal du "fair use" : on peut avoir un blog jaime-pas-paypal.blablatage ou paypal.forum-divers.discussion... ou même paypal-vole-les-honnetes-gens. Les enregistreurs DNS et les autorités de certificat ne sont pas non plus les modérateurs des noms de domaines "abusifs".
En tout état de cause, l'autorité de certification arrive après l'enregistrement du domaine;
est-ce son rôle de re-vérifier que le nom de domaine respecte les règles, alors que l'enregistreur est censé avoir vérifié en amont, alors que le registre lui aussi doit avoir vérifié tout?Et
dans le cas "paypal.forum-divers.discussion" le nom "paypal" n'a pas de raison de faire parti du certificat TLS, donc l'autorité de certification
ne verra rien, pas plus que le registre DNS; c'est le principe même du DNS (qui est une arborescence de noms superposable à une arborescence de serveurs avant d'être un protocole utilisant le port 53) qui permet ça.
Donc on ne peut pas espérer détecter tous les cas d'usurpation utilisant le nom paypal au niveau des CA. (Cela ne veut pas dire évidemment qu'ils doivent forcèment laisser passer les cas patents de fraude.)
Toute la conception de l'Internet repose sur des délégations de responsabilités et l'absence de "viseur" en chef ou "d'index" de la "Sainte inquisition". (Bien sûr les politichiens dont la structure mentale date de cette période regrettent cela.)
De plus,
la barre d'adresse occupe une toute petite partie de la surface de l'écran : même si l'URL n'a aucun rapport avec la bonne adresse, il y a beaucoup d'utilisateurs qui font plus attention au reste de l'écran. C'est juste un fonctionnement psychologique habituel chez beaucoup de gens.
De toute façon le Système éducatif est en cause. Comme je le dis toujours, les médiocres ont pris des places trop élevées, l'école est en grande partie une perte de temps, etc. On transforme des médiocres en super-crétins diplômés qui se savent pas poser un problème et multiplient les outils de sécurité au lieu de réfléchir à la sécurité.
Pour moi le fait de savoir si on est sur le site habituel se résout par l'enregistrement du mot de passe dans le navigateur.Mais le fait de savoir si on est sur
un site appartenant à l'institution est moins évident, parce que certains demandent les mêmes identifiants sur plusieurs domaines qui ne sont pas liés au niveau du DNS. C'est là qu'il faut utiliser les certificats "EV" : la validation étendue compense le fait d'utiliser plusieurs domaines disjoints.
Pour Google, le fait de centraliser l'enregistrement d'un nom d'utilisateur sur un seul domaine permet de ne pas avoir besoin de certificat EV, puisque le nom "google.com" est une marque plus connue que "Google Inc in Mountain View, CA". Tout le monde sait que google.com est correct.