Ho, excellent exemple de social engineering avec une autorité de certification x509. Bon après Comodo (pwned en mars 2011) et AC x509, what did you expect ? :)
« Au cas où vous en douteriez encore, les Finlandais sont pleins d'humour. Dernier exemple en date avec cet informaticien finlandais qui s'est amusé, il y a 2 mois, à enregistrer une adresse hostmaster@live.fi sur le service de messagerie Live de Microsoft, pour faire une bonne blague.
Avec cette adresse à l'allure très corporate "Microsoft", il a alors écrit à Comodo, la société qui délivre des certificats de sécurité SSL / TLS qui sont reconnus officiellement par les navigateurs, pour demander de lui générer un certificat "Microsoft" officiel.
Et comme chez Comodo, c'est la confiance qui prime, il a bien reçu ce certificat par mail. Tout simplement et sans jamais fournir de pièce d'identité. »
Thu Mar 19 14:14:14 2015 - permalink -
-
http://korben.info/quand-comodo-donne-ses-certificats-ssl-a-nimporte-qui.html