SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


20110315: Comodo fabrique 9 certificats non-autorisés suite au vol d'un accès

Comodo a été leurré à fabriquer 9 certificats se rapportant à des sites très connus (google, yahoo, skype, etc.) le 15 mars 2011.

L'attaquant a en fait utilisé le login et mot de passe d'un partenaire de Comodo ayant les droits de Registration Autority (RA). A ce jour on ne sait pas comment le pirate a obtenu cet accès (vol? hacking?) mais à priori il ne s'agit pas d'une attaque par force brute.

Les certificats ont été promptement découverts et révoqués par Comodo. Mais, vu l'ampleur du risque, Comodo a promptement contacté les éditeurs de navigateurs afin qu'ils puissent intégrer en dur, une blacklist des certificats, ce qu'ils ont fait le 23 mars.

Comodo a alors rendu l'information publique, en publiant ces 2 articles:

Ceci n'aurait jamais du se produire ! Et cela a pu se produire, en majeure partie, parce que l'authentification utilisée (pour se connecter dans l'interface Comodo) était faible, à base de mot de passe.

Si vous gérez des utilisateurs, vous le savez bien : ils stockent les mots de passe n'importe comment, ils utilisent des choses facile à deviner, et pire encore, ils ont tendance à mettre toujours le même mot de passe ! Et ralent lorsque l'on exige des mots de passe plus complexes.

Cela doit tous nous amener à réfléchir sur l'utilisation des accès à authentification faible: imaginez ce qu'une personne mal intentionnée pourrait faire dans vos systèmes avec un mot de passe volé !

Chez TBS INTERNET, nous sommes concernés et inquiets : la plupart de nos clients optent pour l'authentification faible (username/password). Et pourtant notre système offre le choix entre authentification faible ou forte ! Nous réfléchissons donc à une série de mesures pour limiter les risques, qui seront prochainement annoncés.

Comodo a aussi pris les choses en main : l'authentification faible va être supprimée, et des tokens cryptographiques contenant un certificat vont être distribués aux RA. De plus, un challenge DCV va être rajouté dans le processus d'obtention de certificat.

Bilan

  • A aucun moment l'infrastructure de Comodo n'a été compromise. Les racines Comodo sont sûres et restent fonctionnelles.
  • Comodo déploie actuellement l'authentification par certificats utilisateur pour ses Registration Authority
  • Un challenge DCV est actuellement déployé pour tous les certificats (hormis les EV)