-
@Mnyo @arnaud_thurudev @jujusete Ça veut dire que si tu arrives à injecter une CA pourrite sur le terminal de ton utilisateur, c’est fini.Permalink On twitter.com
Mood -3 🙁
-
@Mnyo @arnaud_thurudev @jujusete (Et dans le cas précis de Windows Update, comme je le dis dans la vidéo, c’est même du early-traffic, donc quand il n’y a pas ENCORE de CA vérolée sur la machine, et ça juste marche sans problème… Donc 0 vérif de certifs en vrai…)Permalink On twitter.com
Mood 0
-
@Mnyo @arnaud_thurudev @jujusete Autant pour des sites « lambda », se reposer sur les CA ça peut éventuellement suffire, autant pour des trucs sensibles comme des applis bancaires ou des maj systèmes, tu vérifies autre chose quoi… Et si possible en end-to-end (GPG, cert pinning, etc).Permalink On twitter.com
Mood 0
-
@Mnyo @arnaud_thurudev @jujusete Et après oui, si une CA était elle-même vérolée, on peut du coup envisager une infection de tous les Windows de la planète. Par exemple une collaboration entre Symantec, CA & propriétaire de Bluecoat, et une entité gouvernementale utilisant du matériel Bluecoat…On twitter.com
Mood -2 🙁