tbsLogo guillemet Adresse : 22 rue de Bretagne - 14000 CAEN - FRANCE
Tél. : 02 76 30 59 00 - E-mail : certs@tbs-internet.com
guillemet et filet Friday, 18-Apr-2014 23:16:29 UTC Recherche arc gauche
arc droit langue FR
Les certificats
Le comparatif
Navigateurs
Notre gamme
Partenaires
Laboratoire
Sécurité Email
Outlook et S/MIME
Chiffrement S/MIME
Signature électronique S/MIME
S/MIME sous Unix
FAQ
Forums
The Satellite
Encyclopedia
Consulting
filet vert

FAQ sécurité TBS

Où trouver vos documents sur la sécurité ?

Commencer par voir nos documents ici. Si vous ne trouvez pas votre bonheur, alors revenez voir cette FAQ !

[retour]



Peut-on utiliser SSL en France ?

Oui, depuis la parution des récents décrets (98-101, 99-199, 99-200, 99-201) les logiciels 128-bit sont soumis à un régime de déclaration préalable, avec usage libre dans le cadre strictement privé.

Les logiciels qui ont par le passé obtenu une autorisation sont utilisables sans aucune formalité. Ceci concerne les produits de Netscape et Microsoft, Lotus, etc. Voir un extrait de la liste des produits libre d'utilisation ou autorisés.

[retour]



Est-ce que SSL 40-bit est inviolable ?

Non... Il faut une certaine puissance de calcul pour le casser, mais cette puissance est à la disposition d'un nombre certain de personnes (universités, entreprises, états, etc.). Nous recommandons donc d'utiliser du SSL 128-bit à chaque fois que c'est possible.

[retour]



Y-a-t'il une implémentation libre de SSL ?

Oui, OpenSSL : http://www.openssl.org/

[retour]



Comment contacter le SCSSI ?

Suite au dossier de Le Monde Informatique #729 voici 2 méthodes pour joindre le SCSSI :

[retour]



Connaissez-vous des logiciels pour vérifier les numéros de carte de crédit  ?

C'est hors de notre champ de compétence, mais jetez tout de même un oeil à :
http://search.cpan.org/search?dist=Business-CreditCard.

[retour]



Comment envoyer les informations reçues en mode sécurisé par email  ?

Si vous recevez des bons de commande, des numéros de carte, ou des informations nominatives en mode sécurisé SSL, il faut bien évidement que ces informations arrivent aussi au destinataire (le commercant) en mode sécurisé. Le plus pratique c'est souvent d'envoyer les informations par email sécurisé.

Pour se faire, il faut que sur le serveur web où se trouve le certificat SSL vous ajoutiez ou programmiez un module d'envoi d'email crypté S/MIME. Il faudra que le destinataire soit équipé d'un logiciel S/MIME non bridé (Communicator, Outlook Express, etc.) et d'un certificat S/MIME. Pour se procurer ce logiciel + certificat, voir ici.

Pour la partie serveur, vous avez 3 solutions :

Nous avons testé les solutions Cryptlib et OpenSSL avec succès (envoyez un mail signé avec S/MIME à tag-smime-demo@tbs-internet.com pour voir ce que l'on peut faire avec openssl et perl).

[retour]



Comment stocker mes mots de passe en toute sécurité ?

Ah ! qui n'a jamais perdu un mot de passe ? Pour éviter ce type de désagrément, nous vous recommandons d'utiliser le logiciel de stockage de mot de passe Password Safe de Counterpane, une société spécialisée dans la sécurité sur internet. Ce logiciel crypte la base de mots de passe avec l'algorithme Blowfish et en plus vous genèrera des passwords non-triviaux.

Vous utilisez un Palm pour stocker vos mots de passe ? Alors utilisez GNU Keyring ! Il vous rendra les mêmes services que Password Safe bien que son algo de chiffrement est moins sûr.

Si vous utilisez Linux, alors utilisez MYPasswordSafe qui est compatible avec les fichiers de Password Safe.

[retour]



Comment upgrader un serveur IIS en mode 128-bit ?

La solution la plus évidente serait d'installer la version 128-bit du service pack de NT... Mais c'est un peu lourd comme téléchargement et pas disponible en version française. Heureusement il existe une astuce : il suffit de mettre à jour l'Internet Explorer du serveur en 128-bit ! Il vous faut pour cela un IE 4 SP 2 ou plus, fournit avec tout service pack recent.

Pour ce faire très simple. D'abord commencez par faire une copie de sauvegarde du fichier c:\winnt\system32\schannel.dll. Allez à http://www.microsoft.com/windows/ie/download/128bit/ et suivez les instructions. Lancez le fichier téléchargé et rebootez. Nous avons réussi à le faire pour IIS 4 et 5.

Si vous utilisez un variante Windows 2000 (Professionnel, Server, Advanced Server ou DataCenter Server) alors le plus simple est tout simplement de télécharger le High Encryption Pack conseillé par MS France :
http://www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp

Pour IIS 3, la solution existe aussi ! Après avoir sauvegardé le fichier schannel.dll actuel, allez à http://www.microsoft.com/ntserver/nts/downloads/critical/schannel/ et téléchargez le fichier en langue anglaise version "High Encryption" (la version "high encryption" n'est pas disponible pour les autres langues que l'anglais). Executez le programme téléchargé, il remplacera votre fichier schannel.dll. Rebootez et le tour est jour ! Votre fichier schannel.dll est maintenant version 5.00.1877.9

[retour]



Comment inciter mes visiteurs à upgrader leur navigateur en 128-bit ?

La meilleure façon consiste à les orienter vers nos guides de sécurisation. Pour se faire nous mettons à votre disposition un script qui détecte le niveau de sécurité du navigateur et affiche une recommandation de mise à jour si nécessaire (uniquement sur les Netscape en mode http, sinon pour tous les navigateurs en mode https). Evidement ce script doit être sur un serveur 128-bit !

Voici le script en PHP. Il a été testé avec apache + php + apache-ssl. Pour mod_ssl il faut utiliser SSLOptions +CompatEnvVars.

Voici le script en ASP. Il a été testé avec IIS4. (ne marche pas avec IIS3)

[retour]



Comment vérifier la puissance de chiffrement de mon serveur ?

(ce serveur externe ne fonctionne plus) Allez à http://www.netcraft.com/sslwhats/ et saisissez le nom usuel de votre serveur. Un robot viendra s'y connecter et affichera les résultats (évidement votre serveur doit être accessible de l'extérieur). Si dans la section "HTTPS Server", dans "Supported SSL ciphers" vous voyez "RC4 with MD5" ou "Triple DES with MD5" votre serveur supporte le 128-bit. Si par contre vous ne voyez que des algorithmes avec la mention "(export version restricted to 40-bit key)" alors votre serveur est bridé à 40-bit.

Voici une liste avec la puissance de chiffrement des algorithmes les plus courants. N'oubliez pas que votre navigateur choisira le plus puissant de la liste qu'il supporte lui même :

  • RC4 with MD5 => 128-bit

  • RC4 with MD5 export => 40-bit

  • RC2 with MD5 => 128-bit

  • RC2 with MD5 export => 40-bit

  • IDEA with MD5 => 128-bit

  • DES with MD5 => 56-bit

  • Triple DES with MD5 => 168-bit (équivalent 112-bit)

  • RC4-64-MD5 => 64-bit

Il arrive que le robot ne donne pas d'information. C'est en général le cas quand le serveur ne supporte par SSLv2. Cela peut causer des problèmes.

Vous pouvez aussi vérifier la puissance de votre serveur en vous y connectant avec un navigateur 128-bit. La connexion ainsi établie doit être en 128-bit. Pour obtenir un navigateur 128-bit, voyez ici.

Si votre serveur ne supporte pas le 128-bit, nous vous recommandons de le mettre à jour ! Un serveur 128-bit permet bien évidement d'établir des connexions a des puissances inférieures et ne pose aucun problème de compatibilité descendante.

[retour]



Comment vérifier la puissance de chiffrement de mon navigateur ?

Allez à https://www.tbs-x509.com/php/testcrypto.php avec le navigateur à tester !

[retour]



Je cherche les racines Thawte et VeriSign ?

Si vous avez à faire des verifications de certificat (par exemple pour SMTP TLS avec OpenSSL) vous aurez besoin des racines des autorités de certification. Nous mettons à votre disposition une archive contenant les principales racines de Thawte et VeriSign ici :
https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz

[retour]



Comment éviter les messages d'alertes pour les POSTs ?

Vous ne le savez peut être pas, mais les navigateurs webs sont configurés par défaut pour afficher une boite d'alerte lorsque l'utilisateur renvoit des informations au site web par un formulaire utilisant la fonction POST. Tous les Netscape le font par défaut, les IE récent ne le font qu'en mode de sécurité élevé. Cliquez sur les images pour voir ce que les utilisateurs voient (version anglaise) :


Ces avertissements ne sont pas inutiles : ils alertent les utilisateurs de la transmission de données non sécurisées. Il y a une façon simple de s'en débarrasser : il suffit de faire des POST en https et non pas en http !

En passant tout vos POST en https, exemple :
<form action="https://www.mondomaine.com/cgi-bin/formmail.cgi" method="POST">,
vous garantissez à l'utilisateur que ses données ne passeront pas en clair sur le réseau. De plus, vous faîtes disparaitre ces messages d'alertes qui il faut bien l'avouer, font peur à une grande partie des internautes débutant.

Toutes les données saisies par un utilisateur sont sensibles, surtout les informations nominatives (nom, adresse, email, age, etc.) ; il n'y a pas que informations bancaires ! On sait maintenant qu'il y a de nombreux mécanismes d'interception sur internet. Nous vous invitons donc à passer en revue vos sites web afin de faire transiter tous les POST en https. Il vous faut pour cela un serveur web équipé d'un certificat SSL serveur. Sinon en mode http, utilisez plutot le GET que le POST, c'est plus user friendly.

[retour]



Comment vérifier la correspondance entre clef privée et certificat ?

Pour vérifier qu'une clef privée corresponde bien à un certificat, il faut comparer deux nombres qui sont : "modulus" et "public exponent".

Pour afficher ces nombres avec openssl, faire :

  • pour le certificat :
    openssl x509 -noout -text -in certfile -modulus

  • pour la clef privée :
    openssl rsa -noout -text -in keyfile -modulus

si les valeurs "modulus" et "public exponent" correspondent exactement, alors le certificat est bien pour cette clef privée.

Autre question ?

Voir aussi la FAQ de Thawte France.

[retour]



TBS est une société de conseil spécialisée dans les télécommunications spatiales, le conseil aux ISPs et la sécurité du commerce électronique. TBS-internet est courtier en certificats depuis 1996.

Sécurisation Outlook Express | Sécurisation Netscape Communicator | Sécurisation serveurs SMTP/POP/IMAP |
Autres documents sécurité TBS

blanc
blanc [Webmaster] [Crédits] [Les certificats] [The Satellite Encyclopedia] [Pitux] [Consulting] [Accueil]
© TBS Internet, tous droits réservés. Toute reproduction, copie ou mirroring interdit.
Dernière modification: 24 March 2014