internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

---

@verdy_p a écrit :

J'ai l'errur SSL 48 (unknown CA) sur tous les clients (sur Windows, Android, ou Gmail)

---

Merci

Là c'est clair.

Le certificat présenté par les serveurs sont corrects, c'est juste que ta machine, ou TON client de messagerie ne possède pas le certificat de l'autorité signataire du certificat présenté.

Normalement les certificats des autorités  (CA) sont fournis avec les logiciels et si il s'est passé quoi que ce soit dans ta machine, il est possible que le magasin de certificat ait été endommagé.

Pour réinstaller un certificat dans un navigateur c'est "assez facile", .....  pour ceux qui en ont l'habitude.

Pour les réinstaller dans un logiciel de messagerie, c'est le même principe, sauf que personne n'a l'habitude de le faire.

Je te conseille donc de sauvegarder tes messages et de réinstaller un courrielleur neuf, si tu ne sais pas  installer le certificat de l'autorité qui te manque.

Ne fait surtout rien tant que tu n'auras pas une vision claire de tout ce que tu dois faire.

Commencer sans savoir exactement TOUT ce qui doit être fait pourrait se révéler catastrophique.

Cordialement

PhilDur

Ce qui est clair c'est que le certificat manquant n'est pas standard et ne fait pas partie de ceux qui sont connus habituellement.

J'ai ça sur tous les PC que j'ai testés pour me connecter et sur 3 smartphones différents. Aucun n'accepte ce certificat présenté plutôt "étrange".

Et même Google ne connait pas ce CA.

Pour moi c'est un ancien CA expiré ou désapprouvé/compromis qui a été utilisé par Orange.

Je ne peux pas réinstaller un certificat venu d'on ne sait où, et jamais je ne supprime un certificat, ce sont des processus système qui s'en occupe (vérifications de listes CRL, mises à jour par l'autorité signataire).

Si vraiment c'était le symptome que tu crois cela concernerait une seule machine, mais j'ai ça sur toutes les machines testées (Windows, Linux, Android).

Ou alors le nouveau certificat qui devrait remplacer l'ancien n'est pas distribué ou pas accessible à l'adresse indiquée par le serveur Orange, ou il est corrompu ou c'est la chaine qui est corrompue.

Plusieurs tests sur Internet indiquent aussi qu'ils n'arrivent pas à établir une connexion SSL avec les serveurs d'Orange, même le test de Symantec (alors qu'Orange a utilisé Symantec comme un signataire). Un certificat racine ne doit plus exister donc ne permet plus de vérifier les signatures en aval et c'est toute la chaine qui est invalidée.

Bonjour Verdy_P

J'ai regroupé (essayé de) dans ce sujet tous les posts qui concernent TON problème spécifique.

Merci à tous ceux qui voudraient traiter de leur problème à eux, de poster dans un nouveayu sujet.

Ce que tu aurais du faire.

Pourrais-tu, s'il te plait, nous montrer le certificat présenté par le serveur POP ou le serveur SMTP ?

Qu'au moins on puisse voir quel certificat d'Autorité il référence.

Le problème pourrait bien être plus grave que ce qu'on pensait jusqu'à maintenant.

Il va falloir creuser un peu plus profond.

Quel(s) équipement(s) de connexion réseau utilises-tu ?

Ton propre modem routeur ou une Livebox ?

Quel(s) DNS utilises-tu ?

Cordialement

PhilDur

Tu ne veux pas lire et donc je le répète: j'ai cette erreur SSL 48 (unknown CA) sur TOUTES les machines testées, TOUS les OS, chez moi ou avec n'importe quel service en ligne, même Google lui-même ne connait pas ce CA depuis ses propres machines.

Donc la machine n'est pas du tout en cause, ni même mon propre réseau local puisque j'ai testé avec des clients sur plusieurs réseaux en France, ailleurs en Europe ou aux USA.

Pas la peine de fournir mes cerficats, ce qui est en cause ce sont les certificats présentés par les serveurs Orange eux-même, qui ne sont reconnus par personne ! Si ça marche encore chez toi c'est parce que tes machines ont encore en cache dans leur magasin une copie d'un certificat de CA (je ne sais pas lequel) dans la chine de signature, mais ce CA n'existe plus et n'est plus distribué, ou a certainement été désapprouvé.

Il faut noter que plusieurs CA controlés auparavant par Symantec ont depuis été repris par Digicert, qui a acquis Symantec, et changé toute la chaine. Symantec et Digicert ont diffusé l'annonce à leurs clients depuis longtemps pour leur demander de mettre à jour les certificats sur leurs serveurs ce qui aurait du avoir lieu depuis déjà longtemps bien avant la date d'expiration des caches (cette date d'expiration vient largement avant (des années même) celle d'expiration de validité des certificats. Durant la vie d'un certificat, il est normalement nécessairement revalidé (au minimum une fois par an), ce qui permet de les mettre à jour automatiquement.

Mais un client peut décider de vérifier mais conserver un certificat dont il a une copie, s'il ne parvient pas à le vérifier à nouveau, tant que la validité du certificat n'est pas expirée; mais mêm edécider de continuer à utiliser un certificat déjà expiré. Par exemple Windows lui même a plusieurs certificats expirés depuis plus de 15 ans afin de garder la compatibilité d'anciens pilotes ou versions de logiciels d'anciens systèmes d'exploitation. Les distributions de Windows gardent ces pilotes et les approuve d'une autre façon en utilisant une nouvelle signature avec un certificat plus récent stockée dans un fichier catalogue séparé, afin de passer outre l'invalidité du certificat initialement inclus directement dans ces anciens logiciels qui n'ont eux-mêm pas été désapprouvés, mais qui ne peuvent pas être remplacés par de nouvelles versions de ces logiciels (en particulier cela concerne les signatures de firmwares matériels, dont les adaptateurs de stockage SCSI et RAID, des coprocesseurs, des cartes graphiques ou sonores, des BIOS, de nombreux pilotes de périphériques USB, des systèmes matériels de contrôle d'accès, des lecteurs de cartes, certains disques durs, des routeurs... qui ont à l'époque passé la certification Windows et doivent continuer à fonctionner, ces certificats sont encore présents pour ensuite permettre de mettre à jour ces firmwares matériels si c'est encore possible).

On est ici dans ce cas, sauf que pour la messagerie POP, il ne s'agit pas de firmare mais uniquement de logiciel et il n'y a aucune raison de conserver un certificat expiré ou invalidé par un CA désapprouvé.

Et si tu crois qu'Orange est clean, va donc voir les serveurs SMTP d'Orange qui eux aussi ont des alertes sur leurs certificats SSL (dont notamment l'utilisation de noms de domaines eux-mêmes non protégés par un certificat valide). Orange est très en retard sur la gestion des certificats et la certification de ses serveurs (et depuis de nombreuses années), y compris pour son portail (il obtient la plus mauvaise note possible dans les tests en ligne), même s'il utilise HTTPS (SSL) pour ses sites webs et services.

Et cela inclue aussi les noms de domaines d'Orange qui sont très mal protégés et très facilement obfusables (compris Orange Banque! Rien à voir avec Boursorama qui lui a les profils SSL bien plus stricts et est totalement à jour). Orange est largement négligent/déficient et ne sait pas encore gérer les PKIs comme il faut, c'est du "à moitié fait" (une petite partie des services) et pas du tout unifié (sans doute parce qu'il fait appel à trop de prestataires externes et n'a pas de politique pour les obliger à utiliser des normes communes).

Note! "ce que tu aurais du faire": c'est bien ce que j'ai fait. Mon problème est dans son propre sujet.

S'il te plait montre nous le certificat qui pose problème, celui qui n'est pas vérifiable.

Quels DNS utilises tu ?

Et visiblement il y a maintenant du monde à se plaindre du piratage de leurs comptes mail Orange!

C'est encore le signe que les serveurs d'Orange ont bien été piratés ou spoofés. Pas étonnant que des routes normales pour le trafic destiné à Orange soient tombées.

Orange DOIT absolument communiquer à ses clients la nature de la panne subie: et je suis persuadé qu'Orange en n'ayant pas sécurisé ses noms de domaine s'est fait "spoofer" ses services critiques, puis des certificats invalides ont été émisra pour reconfigurer des routeurs d'Orange et détourner massivement du trafic.

Les premières erreurs que j'ai vues datent du 16 avril (erreur rapportée par Google pour la collecte des mails en POP3), mais les attaques massives (spoofing) ont eu à partir du soir du week-end du 1er mai et continuent depuis. Il a fallu plus d'une semaine pour que les autres opérateurs mettent en place des tunnels VPN pour rétablir une partie de la connectivité (uniquement pour HTTP et HTTPS, avec des restrictions de protocole et des parefeux). Et Orange n'a toujours pas réparé son réseau et doit être occupé à résintaller ses routeurs piratés mais il ne s'est pas encore occupé de certains services dont le POP3 et des routes IP qui devraient y aboutir.

En attendant des clients Orange se connectent aux serveurs de messagerie Orange et se font pirater leurs mails, ou leur mai lest utilisé pour envoyer du phishing (voir les autres topics sur ce forum). Et Orange ne communique toujours pas !

C'est grave, Orange devrait dire clairement aux clients de ne PAS utiliser les clients de messagerie externes (POP3/SMTP) et que pour l'instant seul son webmail fonctionne tant bien que mal. Orange devrait aussi donner des explications aux autres opérateurs qui doivent subir la situation.

Je pense qu'il s'agit réellement d'une attaque de sécurité massive contre l'infrastructure d'Orange qui était déjà très fragile en terme de sécurité, y compris sur ses propres enregistrement DNS (pas de DNSSEC, utilisation de certificats expirés ou signés seulement par des CAS qui n'existent plus, et non respect des normes de base de sécurité). Orange a peut-être été abusé par une attaque utilisant Spectre/Meldown via des VMs hébergées sur des systèmes partagés avec des tiers, ou visant par des javascripts les navigateurs Internet de ses agents, en exécutant des scripts capables d'écouter les sessions connectées aux systèmes sensibles de son réseau (même si c'était dans une autre VM ou dans une appli que l'OS hyperviseur: on sait que c'est possible, et cela a pu compromettre des donénes sensibles.

Si tu veux des détails sur le type d'attaque (qui est encore possible dans tous les navigateurs et tous les OS) il y a des documents qui expliquent comment ça fonctionne, et que les "mitigations" actuelles (consistant à réduire la précision des timers comme performance.now en arrondissant les temps à 10 millisecondes, ou me^me 100 ms avec le navigateur Tor, sont totalement inefficaces car on peut toujours simuler une horloge de précision utilisant les seuils précis de basculement, et fabriquer en Javascript même dans une VM sans aucune communication réseau un timer précis à quelques nanosecondes près (entre 10 et 30 nanosecondes soit à peine quelques cycles CPU) ce qui permet alors les time-attack et l'expolotiation de "covert channels" permettant de détecter l'état des caches du CPU, ou même l'état des controleurs DRAM (caches d'adresses de bank et row) et savoir précisément quelle adresse mémoire est utilisée et quand par le processus "protégé" qu'on veut pirater, et utiliser la même techynique pour créer un lien de communication entre deux systèmes isolés. Il y a même possibilité par ce moyen à forcer un processus protégé à adopter un comportement et même parvenir à le convaincre d'utiliser des données falsifiées ou l'empêcher de reporter une attaque dans les temps ce qui laisse alors un autre système accepter une requête qui normalement aurait du être refusée.

Les "time-attacks" (connues depuis environ 1996 mais pas encore facilemetn exploitables) n'en sont qu'au début et Spectre/Metdown ne sont que la partie visible d'un problème bien plus général (et qui ne concerne pas que les processeurs, on le voit maintenant aussi sur d'autres composants dont la DRAM, les caches de bus, les liens Ethernet, les processus clients-serveur, les routeurs). Et elles sont rendues possibles aujourd'hui parce que les systèmes sont globalement très rapides et disposent de plein de surcapacités (cycles "idle") ce qui permet de mener une attaque (non facilement détectée) en une fraction de seconde (avant même qu'on puisse noter un pic soudain et persistant d'activité avec les attaques classiques).

Il n'est pas anodin que les attaques sur les routes IP d'Orange ait commencé justement dans la nuit de vendredi à samedi du pont du 1er mai, à partir de 2 ou 3 heures du matin, là où les systèmes étaient à la fois les moins chargés, et les moins surveillés et avec le moins de monde en plus pour résoudre l'incident: les pirates ont eu tout le weekend pour agir et ça s'est agrrvé ensuite avec les points du 8 mai et de l'ascension le 10 mai. Et cela a par boule de neige affecté la connectivité de tous les opérateurs internet et de téléphonie fixe et mobile en France (ainsi que plusieurs autres pays notamment africains).

Orange a du faire appel à des ressources hors de France dans ses filiales (notamment au Royaume-Uni et en Pologne) pour rétablir des services rendus inexploitables en France.

Et on sait que tous les opérateurs sont sur le pont. Orange va le payer cher car ils vont demander des dommages à Orange. On en saura plus dans quelques semaines, mais il n'est pas admissible qu'Orange ne dise toujours rien à ses clients (et je trouve étrange qu'aucun détail n'est donné non plus chez les autres opérateurs également touchés concernant la sécurisation de leurs propres données, hébergées chez Orange ou transitant par Orange, qui est encore incontournable en France, y compris pour le dégroupage)

Bonjour,

Que pouvons-nous pour vous ?

^JC

Là soit c'est du n'importe quoi plus ou moins paranoïaque,
soit tu cherches à faciliter le travail aux malfaisants.

L'utilisation d'un client mail serait la cause de tous ces piratages !!!!

Il faut vraiment que tu expliques, avec des liens et des infos crédibles.

Pour l'instant tu sort de paquets de texte compacts, cans rien démontrer.

Tu ne réponds jamais aux questions et tu ne prouives rien.

Je laisse béton, pour l'instant

PhilDur