Je suis complétement d'accord que cette menace va grandir... Merci pour cette article.

Les contres mesures ?

Une de mes conviction est l'authentification forte. Soit par Token de type One Time Password ou avec la techno PKI. La Techno OTP n'est pas forcément la meilleure approche (possible de faire du Men in the Midle). Avec un certificat c'est déjas plus compliqué... Mais ou le stocker ? avec ou sans hardware (Smart Card ou USB Crypto) ? Mais cela est déjas beaucoup plus "secure" qu'un simple username/password.

Ce domaine est en pleins essor. Au US, ils bossent actuellement beaucoup sur des systèmes d'authentification forte à la échelle. Le portable ou le PDA est peut être une solution comme moyen d'authentification ?

C'est un sujet vraiment d'actu. Verisign travaille actuellement sur ce sujet avec des grand acteurs comme eBay. Paypal, etc.

Plus d'info sur http://www.openauthentication.org/

Une autre solution semble vennir des nouveaux Cert SSL EV. Je ne suis pas vraiment convaincu. Il est toit à fait possible que dans qq temps on trouve des attaques de type "Injection de Trusted Root dans les navigateurs". On verra?


Sylvain Maret

Dernière modification par smaret (2007-01-06 00:02:23)