L'article de Rue89 disait vrai : Internet Explorer permettait au gouvernement tunisien (contrôlant également les DNS) de se faire passer pour Gmail en https avec un certificat qu'ils ont eux-même signés.
Je ne crois pas qu'il l'ai fait, surtout à grande échelle.
Si c'était le cas, il aurait suffit qu'un utilisateur regarde le certificat de gmail pour voir qu'il était émis par le gouvernement tunisien. Il aurait risqué de le dénoncer, avec en plus
la preuve irréfutable de ce qu'il avance.
Contre une personne bien ciblée, une telle attaque peut marcher; un gouvernement peut demander à ses services de renseignement si telle personne est suffisamment calée en informatique pour penser à regarder l'èmetteur d'un certificat. C'est quand même un gros risque.
C'est la principale caractéristique du système : il est possible de faire n'importe quoi, y compris mentir délibérèment ou juste ne rien vérifier, mais celui qui le fait fournis
la preuve signée aux victimes. C'est un grand risque, sauf si tout le monde se contrefiche que certaines sociétés (comme COMODO) aient fait n'importe quoi.
On entend dire tout le temps que les utilisateurs sont neuneu, ne comprennent rien, et qu'il est impensable de leur demander de regarder qui est l'èmetteur d'un certificat. Je soutiens au contraire qu'en grande majorité les utilisateurs sont capables de comprendre qu'un site https doit fournir un certificat pour s'identifier, et que ce certificat est émis par des sociétés dont c'est le boulot. (Même Bart Simpson sait que les billets de dollars ne sont normalement pas émis par la "milice du Montana".)
Les utilisateurs ignorent cela parce que personne ne leur en parle, parce qu'il est postulé qu'ils n'y comprendraient rien.
Je ne compte quand même pas expliquer à M et Mme tout-le-monde le problème de la factorisation des produits de deux grands nombres premiers ou du logarithme discret ni les attaques contre MD5.L'idée qu'un site https possède une attestation qui a été signé par une personne morale habilité me semble à la portée de l'individu moyen. Et si ce n'est pas le cas, très franchement, il ne devrait pas avoir le droit de vote!