Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Il se fait passer pour Microsoft et dérobe un certificat SSL auprès de Comodo

Au cas où vous en douteriez encore, les Finlandais sont pleins d’humour. Dernier exemple en date avec cet informaticien finlandais qui s’est amusé, il y a 2 mois, à enregistrer une adresse [email protected] sur le service de messagerie Live de Microsoft, pour faire une bonne blague.

Avec cette adresse à l’allure très corporate « Microsoft », il a alors écrit à Comodo, la société qui délivre des certificats de sécurité SSL / TLS qui sont reconnus officiellement par les navigateurs, pour demander de lui générer un certificat « Microsoft » officiel.

Et comme chez Comodo, c’est la confiance qui prime, et qu’ils valident les demandes qui arrivent à partir des mails suivants (source) :

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

…. Il a bien reçu ce certificat par mail. Tout simplement.

Bon, pour lui c’était une bonne blague, mais si ça avait été un escroc, il aurait pu monter sans aucun problème des sites de phishing qui seraient passés sans souci en HTTPS avec certificat officiel Microsoft. Il aurait pu alors collecter des données d’utilisateur tranquillement.

certif

C’est donc la faute de Microsoft qui n’a pas vérouillé les emails utilisés pour les certificats chez Comodo et aussi un petit peu la faute de Comodo qui part du principe que ses clients on sécurisé les emails mentionnés ci-dessous. Mais la preuve que non, puisqu’un quidam a pu en réserver une sur Live.fi.

Après cette aventure, il a contacté Microsoft et l’Autorité finlandaise en charge des communications pour raconter son histoire, mais personne ne lui a répondu avant ce jeudi, où Microsoft l’a remercié, après avoir évidemment bloqué l’email [email protected] et révoqué le certificat en question.

Comme quoi, parfois il suffit de demander poliment 🙂

Source

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé


Comment supprimer vos données personnelles d’Internet avec Incogni ?

Espace partenaire

🔒Votre vie privée est-elle vraiment privée❓

😮Vous l’ignorez peut-être, mais des sociétés appelées Data Brokers collectent, agrègent et monnaient vos données personnelles sans votre consentement.

📝Votre nom, votre prénom, votre date de naissance, 📧 votre email, 🏠 votre adresse postale, et bien d’autres informations sont ainsi collectés pour être revendus à des publicitaires. Il est donc temps de reprendre le contrôle de vos informations personnelles grâce à Incogni

🛡️Incogni est un service qui se charge pour vous de contacter ces Data Brokers et d’exiger la suppression de vos données personnelles.

💥 Profitez d’une offre spéciale avec le code INCOGNI60 et ne laissez pas votre vie privée entre de mauvaises mains❗🙅‍♀️

👇🔍 CLIQUEZ ICI POUR EN SAVOIR PLUS 🔍👇

Les articles du moment