FAQ sécurité TBS
Où trouver vos documents sur la sécurité ?
Commencer par voir nos documents ici.
Si vous ne trouvez pas votre bonheur, alors revenez voir cette FAQ !
[retour]
Peut-on utiliser SSL en France ?
Oui, depuis la parution des récents décrets (98-101, 99-199,
99-200, 99-201) les logiciels 128-bit sont soumis à un régime
de déclaration préalable, avec usage libre dans le cadre
strictement privé.
Les logiciels qui ont par le passé obtenu une autorisation sont
utilisables sans aucune formalité. Ceci concerne les produits de
Netscape et Microsoft, Lotus, etc. Voir un extrait de la
liste des produits libre d'utilisation ou autorisés.
[retour]
Est-ce que SSL 40-bit est inviolable ?
Non... Il faut une certaine puissance de calcul pour le casser, mais cette
puissance est à la disposition d'un nombre certain de personnes
(universités, entreprises, états, etc.). Nous recommandons donc d'utiliser du
SSL 128-bit à chaque fois que c'est possible.
[retour]
Y-a-t'il une implémentation libre de SSL ?
Oui, OpenSSL : http://www.openssl.org/
[retour]
Comment contacter le SCSSI ?
Suite au dossier de Le
Monde Informatique #729 voici 2 méthodes pour joindre le SCSSI :
- téléphone : 01-4146-3700
- fax : 01-4146-3701
- visitez leur web :
http://www.scssi.gouv.fr/
[retour]
Connaissez-vous des logiciels pour vérifier les numéros de
carte de crédit ?
C'est hors de notre champ de compétence, mais jetez tout de même
un oeil à :
http://search.cpan.org/search?dist=Business-CreditCard.
[retour]
Comment envoyer les informations reçues en mode sécurisé par email ?
Si vous recevez des bons de commande, des numéros de carte, ou des informations
nominatives en mode sécurisé SSL, il faut bien évidement que ces informations arrivent aussi au
destinataire (le commercant) en mode sécurisé. Le plus pratique c'est souvent d'envoyer les informations
par email sécurisé.
Pour se faire, il faut que sur le serveur web où se trouve le certificat SSL vous ajoutiez
ou programmiez un module d'envoi d'email crypté S/MIME. Il faudra que le destinataire soit équipé
d'un logiciel S/MIME non bridé (Communicator, Outlook Express, etc.) et d'un certificat S/MIME.
Pour se procurer ce logiciel + certificat, voir ici.
Pour la partie serveur, vous avez 3 solutions :
- si vous developpez avec ASP : http://www.aspencrypt.com/
- utilisez la librairie Cryptlib multi-plateforme :
http://www.cs.auckland.ac.nz/~pgut001/cryptlib/
- utilisez les fonctions smime de OpenSSL (également multiplatforme) :
http://www.openssl.org/docs/apps/smime.html
- utilisez les fonctions smime de PHP :
http://www.nexen.net/docs/php/annotee/function.openssl-pkcs7-encrypt.php
Nous avons testé les solutions Cryptlib et OpenSSL avec succès (envoyez un mail signé avec S/MIME à
tag-smime-demo@tbs-internet.com pour voir ce que l'on peut
faire avec openssl et perl).
[retour]
Comment stocker mes mots de passe en toute sécurité ?
Ah ! qui n'a jamais perdu un mot de passe ?
Pour éviter ce type de désagrément, nous vous recommandons d'utiliser le logiciel de stockage
de mot de passe
Password Safe de Counterpane, une société spécialisée dans la sécurité sur internet.
Ce logiciel crypte la base de mots de passe avec l'algorithme Blowfish et en plus vous
genèrera des passwords non-triviaux.
Vous utilisez un Palm pour stocker vos mots de passe ? Alors utilisez
GNU Keyring !
Il vous rendra les mêmes services que Password Safe bien que son algo de chiffrement est moins sûr.
Si vous utilisez Linux, alors utilisez
MYPasswordSafe qui est compatible avec les fichiers de Password Safe.
[retour]
Comment upgrader un serveur IIS en mode 128-bit ?
La solution la plus évidente serait d'installer la version 128-bit
du service pack de NT... Mais c'est un peu lourd comme
téléchargement et pas disponible en version française.
Heureusement il existe une astuce : il suffit de mettre à jour l'Internet Explorer
du serveur en 128-bit ! Il vous faut pour cela un IE 4 SP 2 ou plus, fournit
avec tout service pack recent.
Pour ce faire très simple. D'abord commencez par faire une copie de sauvegarde du
fichier c:\winnt\system32\schannel.dll.
Allez à
http://www.microsoft.com/windows/ie/download/128bit/ et suivez les instructions.
Lancez le fichier téléchargé et rebootez. Nous avons réussi à le faire pour IIS 4 et 5.
Si vous utilisez un variante Windows 2000 (Professionnel, Server, Advanced Server ou
DataCenter Server) alors le plus simple est tout simplement de télécharger le High
Encryption Pack conseillé par
MS France :
http://www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp
Pour IIS 3, la solution existe aussi ! Après avoir sauvegardé le fichier
schannel.dll actuel, allez à
http://www.microsoft.com/ntserver/nts/downloads/critical/schannel/ et téléchargez
le fichier en langue anglaise version "High Encryption" (la version "high encryption"
n'est pas disponible pour les autres langues que l'anglais). Executez le programme
téléchargé, il remplacera votre fichier schannel.dll.
Rebootez et le tour est jour ! Votre fichier
schannel.dll est maintenant version 5.00.1877.9
[retour]
Comment inciter mes visiteurs à upgrader leur navigateur en 128-bit ?
La meilleure façon consiste à les orienter vers nos guides de sécurisation.
Pour se faire nous mettons à votre disposition un script qui détecte le niveau
de sécurité du navigateur et affiche une recommandation de mise à jour si
nécessaire (uniquement sur les Netscape en mode http, sinon pour tous les
navigateurs en mode https). Evidement ce script doit être sur un serveur 128-bit !
Voici le script en PHP. Il a été testé avec
apache +
php +
apache-ssl.
Pour mod_ssl il faut utiliser SSLOptions +CompatEnvVars.
Voici le script en ASP. Il a été testé avec IIS4. (ne marche pas avec IIS3)
[retour]
Comment vérifier la puissance de chiffrement de mon serveur ?
(ce serveur externe ne fonctionne plus) Allez à
http://www.netcraft.com/sslwhats/ et saisissez le nom usuel de votre serveur.
Un robot viendra s'y connecter et affichera les résultats (évidement votre serveur
doit être accessible de l'extérieur). Si dans la section "HTTPS Server", dans
"Supported SSL ciphers" vous voyez "RC4 with MD5" ou "Triple DES with MD5"
votre serveur supporte le 128-bit. Si par contre vous ne voyez que des algorithmes
avec la mention "(export version restricted to 40-bit key)" alors votre serveur
est bridé à 40-bit.
Voici une liste avec la puissance de chiffrement des algorithmes les plus courants.
N'oubliez pas que votre navigateur choisira le plus puissant de la liste
qu'il supporte lui même :
- RC4 with MD5 => 128-bit
- RC4 with MD5 export => 40-bit
- RC2 with MD5 => 128-bit
- RC2 with MD5 export => 40-bit
- IDEA with MD5 => 128-bit
- DES with MD5 => 56-bit
- Triple DES with MD5 => 168-bit (équivalent 112-bit)
- RC4-64-MD5 => 64-bit
Il arrive que le robot ne donne pas d'information. C'est en général
le cas quand le serveur ne supporte par SSLv2. Cela peut causer des problèmes.
Vous pouvez aussi vérifier la puissance de votre serveur en vous y connectant
avec un navigateur 128-bit. La connexion ainsi établie doit être en 128-bit.
Pour obtenir un navigateur 128-bit, voyez ici.
Si votre serveur ne supporte pas le 128-bit, nous vous recommandons de le
mettre à jour ! Un serveur 128-bit permet bien évidement d'établir
des connexions a des puissances inférieures et ne pose aucun problème
de compatibilité descendante.
[retour]
Comment vérifier la puissance de chiffrement de mon navigateur ?
Allez à
https://www.tbs-x509.com/php/testcrypto.php avec le navigateur à tester !
[retour]
Je cherche les racines Thawte et VeriSign ?
Si vous avez à faire des verifications de certificat
(par exemple pour SMTP TLS avec OpenSSL) vous aurez besoin des racines
des autorités de certification. Nous mettons à votre disposition une archive
contenant les principales racines de Thawte et VeriSign ici :
https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz
[retour]
Comment éviter les messages d'alertes pour les POSTs ?
Vous ne le savez peut être pas, mais les navigateurs webs sont
configurés par défaut pour afficher une boite d'alerte lorsque l'utilisateur
renvoit des informations au site web par un formulaire utilisant la fonction POST.
Tous les Netscape le font par défaut, les IE récent ne le font qu'en mode de
sécurité élevé. Cliquez sur les images pour voir ce que les utilisateurs voient
(version anglaise) :
Ces avertissements ne sont pas inutiles : ils alertent les utilisateurs
de la transmission de données non sécurisées. Il y a une façon simple de s'en débarrasser :
il suffit de faire des POST en https et non pas en http !
En passant tout vos POST en https, exemple :
<form action="https://www.mondomaine.com/cgi-bin/formmail.cgi" method="POST"> , vous garantissez à l'utilisateur que ses données ne passeront pas en clair sur le réseau.
De plus, vous faîtes disparaitre ces messages d'alertes qui il faut bien l'avouer,
font peur à une grande partie des internautes débutant.
Toutes les données saisies par un utilisateur sont sensibles, surtout les informations
nominatives (nom, adresse, email, age, etc.) ; il n'y a pas que
informations bancaires ! On sait maintenant qu'il y a de nombreux
mécanismes d'interception sur internet. Nous vous invitons donc à passer
en revue vos sites web afin de faire transiter tous les POST en https.
Il vous faut pour cela un serveur web équipé d'un
certificat SSL serveur. Sinon en mode http, utilisez plutot le GET que le POST,
c'est plus user friendly.
[retour]
Comment vérifier la correspondance entre clef privée et certificat ?
Pour vérifier qu'une clef privée corresponde bien à un certificat,
il faut comparer deux nombres qui sont : "modulus" et "public exponent".
Pour afficher ces nombres avec openssl, faire :
- pour le certificat :
openssl x509 -noout -text -in certfile -modulus
- pour la clef privée :
openssl rsa -noout -text -in keyfile -modulus
si les valeurs "modulus" et "public exponent" correspondent exactement,
alors le certificat est bien pour cette clef privée.
Autre question ?
Voir aussi la
FAQ de Thawte France.
[retour]
TBS
est une société de conseil spécialisée dans les télécommunications spatiales, le
conseil aux ISPs et la sécurité du commerce électronique. TBS-internet est courtier en certificats depuis 1996.
Sécurisation Outlook Express |
Sécurisation Netscape Communicator |
Sécurisation serveurs SMTP/POP/IMAP |
Autres documents sécurité TBS
|