Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe mon mail Orange

Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

verdy_p
contributeur confirmé
contributeur confirmé
2 454  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

OCSP ne vérifie pas réellement la validité d'un certificat, il vérifie seulement qu'un certificat valide (précédemment émis, correctemetn signé et approuvé, et correctement formé avec les champs obligatoires nécessaires correctement codés, et les signatures numériques valides et calculées correctement avec les algos approuvés), n'a pas été depuis désapprouvé (par exemple par une fuite de sécurité ou des clés privées de signature, ou parce qu'un algorithme a été cassé et lui-même désapprouvé, ou parce que son usage par son signataire a été abusif et qu'il a été au delà des autorisations, ou son émetteur a perdu le contrôle exclusif de ses clés de signature ou a été contraint de les céder, que ce soit par vol volontaire, détournement, escroquerie, abus de confiance, négligence, ou attaque par un "backchannel" découvert longtemps après, ou parce que son émetteur pense que son certificat n'est plus sûr et qu'il ne souhaite plus l'utiliser et remplacer ses certificats par d'autres plus solides).

 

Pour cela il vérifie sur le serveur distant (d'un contre-signataire "upstream") les signatures de certificats "downstream" qui ne sont plus acceptés. Mais il faut que ces certificats downstream soient connus ce qui souvent n'est pas le cas car le signataire légitime n'est souvent même pas au courant avant longtemps. Il est contacté par ceux qui pensent que son certificat est compromis, il va enquêter pour voir comment son certificat est utilisé ou demandera des exemples d'usages qu'il n'a pas approuvé lui-même. Il peut être informé par des compagnies qui cherchent les abus sur Internet, ou par la justice ou une autorité qui lui demande ou intime l'ordre de ne plsus utiliser un certificat. Il va en créer un autre et lister son fournisseur de PKI "upstream" son ancien certificat comme "désapprouvé" et cela sera transmis à la chaine de vérification.

 

Les certificats désapprouvés le sont donc par une intervention humaine. La plupart du temps parce qu'il y a eu un problème de sécurité, une fuite (par l'émetteur lui-même ou un de ses collaborateurs ou délégués ou un prestataire, ou à cause d'autres failles de sécurité sur les systèmes utilisés).

 

Dans certains cas aussi, un certificat valide identifiant un logiciel au départ légitime (et pas modifié ou compromis lui-même) doit être annulé pour supprimer la certification de ce logiciel original : cela a pour but de "tuer" ce logiciel, et forcer les utilisateurs à en changer. Dans d'autres cas, des certificats identifient des systèmes matériels de façon sure mais le matériel en question est hors d'usage, et doit être mis au rebut: le certificat auquel il était associé doit aussi être "détruit", en le désapprouvant, avant que ce matériel lui-même soit recyclé ou revenu à un tiers qui ne pourra donc pas l'utiliser pour émettre des logiciels ou services signés utilisant leur signature matérielle. Enfin il arrive qu'un certificat doit être désapprouvé à cause d'une "collision" d'identification (exemple: deux identifiants matériels découverts comme identiques alors qu'ils devraient être globalement uniques, à cause d'un défaut du constructeur, ou encore des collisions liées à l'algo de signature, où ces collisions bien que très normalement très rares ne sont pas complètement impossibles, notamment pour les algos de "hachage" à clés courtes comme SHA1 ou pire MD5).

 

Les cas de collisiosn trop nombreuses et trop fréquentes conduisent à désactiver des algos de signature (cmme MD5 déjà ou plsu récemment SHA1 qui est maintenant désapprouvé par Google) utilisés par des tas de certificats. Des OS émettent des invalidations de ces algos mais il peut être bon de tuer des logiciels légitimes (mais trop sensibles comme les serveuirs web ou firmwares de routeurs, ou pilotes de périphériques ou des composants des piles réseau des systèmes d'exploitation) peuvent aussi désapprouver un algo. Mais les anciennes versions de ces OS peuvent encore approuver ces algos (et on ne peut pas s'en passer en mettant à jour ces OS poru des raisons de compatibilité) et dans ce cas on peut aussi émettre une désapprobation spécifique des certificats de logiciels critiques utilisant ces algos : cela permet de désactiver ces logiciels critiques alors qu'on ne peut pas désapprouver les OS ou systèmes tout entier pour la seule raison qu'ils acceptent des signatures MD5 ou SHA1 comme valides.

 

Cela arrive donc même sans aucune attaque ou détournement: un certificat peut être désapprouvé unqiuemetn poru des raisons préventives, quand un autre certificat plus sûr est maintenant disponible et devrait être utilisé (en mettant à jour les systèmes concernés qui en attendant ne pourront plus se connecter ou accepter des connexiosn de tiers ou tourneront seulemetn en mode restreint).

 

darkus
star
star
2 444  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Bonjour à toutes et tous


Avec Avast , maintenant , toutes les erreurs et bugs  sont possibles ;

Il y a pas longtemps , il trouvait une faille dans les livebox !!


il faut se faire une raison , et ne plus se servir d Avast !!


https://lecrabeinfo.net/comment-supprimer-desinstaller-avast-sur-windows-10-8-ou-7.html


Celles et ceux qui utilisent windows10 , ou windows 8.1 , windowsdéfender est suffisant pour assurer une protection ;
il s ' active automatiquement des qu ' il n ' y a plus d ' antivirus tiers


Cordialement @+

yagou2
contributeur
2 321  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Et pour ceux en windows 7 vous conseillez quoi comme antivirus ?

chris05
fan
fan
2 290  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !


@darkus  a écrit :


Avec Avast , maintenant , toutes les erreurs et bugs  sont possibles ;

Il y a pas longtemps , il trouvait une faille dans les livebox !!


Cordialement @+


Bonjour,

 

... et il la trouve toujours .

 

Le seul problème , c'est que dans votre éternel besoin d'attribuer tout et n'importe quoi de mal avec vos idées reçues , vous en oubliez d'approfondir.

 

Ici en l'occurence , cette faille ne concerne que la partie gestion LAN de la box et donc aucune crainte pour notre sécurité de ce qui vient du WAN=>ce qui rend cette faille quasiment inniofensive,la sécurité ne pouvant être mise en cause que par notre réseau local.

Ceci dit , c'est une erreur (allégation) de dire que cette faille a été inventée , la version interne à la box de dnsmasq n'est toujours pas à jour et peut poser problème (très très peu probable)

 

Un lien (site de sécurité assez neutre et constructif ?)où c'est mieux expliqué:

https://www.malekal.com/avast-wifi-inspector-vulnerabilites-routeur-box-cve-2017-14491/

 


A noter que le serveur DNS n’écoute pas sur l’IP publique mais seulement sur l’interface LAN.
Pour mener l’attaque, il faut le faire depuis un ordinateur du LAN.
Il n’est donc pas possible de planter une box depuis une attaque provenant d’internet.
Cela limite donc la portée… même si cela peut-être gênant avec des rigolos sur un réseau LAN.

A noter que cette détection Avast! est présente depuis février 2018.. apparemment les concepteurs de box ne sont pas très pressés pour mettre à jour ces dernières et corriger la vulnérabilité.



 Pour rester dans le sujet qui nous concerne ici mais pour dire qu'une fois de plus vous jetez la pierre à avast sans aucune explication , sachez que le message de serveur révoqué qu'affiche l'agent mail avast , n'est rien d'autre qu'une vérification de la forme du certificat comme le fait déjà le serveur OCSP , tous les 2 voient une anomalie sur les certificats de (certains) serveur pop.orange.fr

michel60
fan
fan
2 230  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Bonjour à tous

 

Effectivement ma méthode n'est valable que si un antivirus tiers n'est pas installé, dans le cas contraire il faut faire une manoeuvre équivalente AUSSI dans l'antivirus.

Dans mon cas ayant w10 1803, je n'utilise plus que Defender (qui a beaucoup évolué) et malwarebytes premium pour le temps réel (j'ai suivi les conseisl du site.http://www.chantal11.com/

 

Voir le message de @chris05:

Il faut aussi paramétrer avast pour qu'il n'analyse plus les connexions SSL car lui aussi se comporte comme le "gendarme" OCSP de thunderbird en analysant en temps réel la légitimité des certificat.

 

Pour cela dans avast -> menu -> paramètres -> composants -> agent mail (personaliser)->analyse SSL -> décocher la case "annalyser les connexions SSL.

 

On désactive ainsi les 2 gendarmes sensés vérifier les certificats , faisant ainsi confiance uniquement à Orange qui dit être sur une connexion sécurisée ... Il y a quand même de grandes chances qu'elle le soit sans qu'un garde-chou soit là pour le confirmer.

 

Cordialement

 

darkus
star
star
2 209  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Bonjour à toutes et à tous @michel60 @clovis111 @verdy_p

 

Bonjour @yagou2

 

Ceux qui ont windows7 , et qui veulent un antivirus gratuit , et si on veut rester en bons termes avec Microsoft

( faut pas oublier que c ' est quand même lui le maitre du jeu ! )
je conseillerais plus tot MSE ( Microsoft Sécurity Essentiel )
https://support.microsoft.com/fr-fr/help/14210/security-essentials-download

@+
---------------------------

Bonjour  @chris05


Contrairement à ce que tu penses , je n ' ai " rien " contre Avast

et  je n ' ai aucune  idées  reçues   sur  rien !!


seulement les temps changent , internet change et aussi Windows a changé , car le PdG de Microsoft a changé lui aussi ;
j ' ai toujours éte un inconditionnel de windows , moi aussi j ' ai changé d ' avis !


vous ignorez certainement que Microsoft ne veut plus qu ' une seule version de windows ( ça sera windows10 )
ils en ont eu marre de voir leurs anciens windows étiquetés < windaube > alors que les bugs c ' était dus en trés grande partie aux anti-virus que les utilsateurs instalaient a foison


Donc , Microsoft a décidé de fournir un anti-virus qui s ' appelle < WindowsDéfender > mais qui est intégré au systéme ; donc gratuit ( lol )
il ne crée aucuns disfonctionnements ; se met a jour tout seul ;


un jour , j ' ai dérapé en le qualifiant d ' anti-virus pour " vieux " ; car en réalité , on s ' en occupe pas !MdR
il ne se désinstalle pas , mais peut se désactiver car il faut quand même tolérer certains anti-virus ; < McAffée et Norton > car ça crée beaucoup d ' emploi aux USA !


il y a aussi une petite tolérance pour Kaspersky , car il va s ' occuper des ordinateurs de bord des voitures , quelque soit leur nationnalité !


mais toute les autres marques d ' antivirus sont malheureusement poussées vers la sortie , et Avast est la béte noire de Microsoft , qui tot ou tard va le torpiller ;

comme il veut torpiller les anciennes versions de windows ;
sans oublier ceux qui ont quand même windows10 , mais installé sur du matériel un peu agé ;


Je commence a réfléchir sérieusement a passer a Linux


Je l ' ai souvent dit et je le répéte :=


Chacun fait bien comme il veut , malheureusement le plus souvent , c ' est comme il peut ( lol )


Bon Dimanche à toutes et à tous
Cordialement

courrieras
contributeur
2 182  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Je suis sur Windows 10 et cela se passe aussi avec Eset Security. Ce n'est pas juste Avast

 

BernardS
contributeur
2 171  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Bonjour:

 

même problème avec Avast (à jour) et T-Bird 52.9.1 configuré en POP, sous Win 7 SP1.

Avast affirme que le certificat du serveur pop.orange.fr a été révoqué et bloque la solution.

 

Essai 1: dans ThunderrBird, paramètres avancés, désactiver la vérification du certificat sur serveur OCSP.

Fail: ce n'est pas T-bird qui bloque la connexion mais Avast qui interrompt le handshake TLS.

je remet le paramètre comme avant.

 

Essai 2: Dans Avast, désactiver le "MailShield".

Fail: T-Bird n'arrive toujour pas à terminer le handshake TLS.

je remet le paramètre comme avant.

 

Essai 3: dans ThunderrBird, reconfigurer ma connexion serveur POP "sans sécurité" c'est à dire sans TLS.

Succés, mais au prix d'une connexion non sécurisée...

je remet le paramètre comme avant.

 

Essai 4: Dans Avast, décocher la case "annalyser les connexions SSL. (comme indiqué par @michel60)

Succés: ThunderrBird se connecte à POP, même en TLS, même avec la "MailShield" d'Avast actif.

 

Je vais garder cette config pour l'instant.

 

Merci à tous.

chris05
fan
fan
2 168  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

@darkus

 

que tu vantes les mérites de MSE et que tu le conseilles , très bien , ça se tient et c'est tout à ton honneur , mais quand à tes non idées reçues et ton "rien contre avast" , tu ne fera croire à personne que c'est réellement ton sentiment ... en citant particulièrement avast comme mauvais 3 fois en 3 phrases




Avec Avast , maintenant , toutes les erreurs et bugs  sont possibles ;

Il y a pas longtemps , il trouvait une faille dans les livebox !!


il faut se faire une raison , et ne plus se servir d Avast !!



ph1: erreur et bugs -> avec avast , quels sont les bugs qui sont si vitaux et non corrigés , quels sont les logiciels (antivirus ou autres) qui n'en ont pas ? (avast ne fait plus seulement antivirus , donc il y a toujours plus d'éléments à contrôler)

ph2: avast trouvait une faille (sous entendu qu'elle n'existait pas) -> voir mon message ou donner des éléments prouvant le contraire , sinon allégations gratuites pas du tout en phase avec ton "rien contre avast".

ph3:ne plus se servir d'avast? Comme ça?  sans plus d'arguments que les dires des piliers de ce forum?(il n'y a qu'à voir ceux qui donnent les "TOP" à chaque fois comme ça de façon formatisé sur avast)
C'est un peu léger pour que les membres puissent se faire une raison sincère de ne plus utiliser particulièrement avast.

Parler en bien de MSE avec les arguments que tu apportes (cette fois) , rien à repprocher .
C'est plus difficile de rentrer dans le ventre de la suite de sécurité orange de manière systématique comme quand le mot "avast" est mentionné !!!

 

 

Et critiquer avast dans ce sujet précis , c'est encore plus malvenu quand on sait (maintenant) qu'il a prévenu du problème de certificat avant qu'orange s'y penche dessus et confirme qu'il y a un soucis de leur coté.

Quels sont les autres logiciels qui ont prévenu ?

Thunderbird par la requète "OCSP" , avast/AVG (oups) , et maintenant kaspersky ... quid de MSE et des autres?

Se sent on plus protégé quand jamais un message n'arrive ?

 

darkus
star
star
2 084  

Re: Quand je lance Outlook, AVAST détecte que le certificat du serveur pop.orange.fr est invalide !

Bonjour à toutes et à tous

 

@chris05


Ca fait des années que je participe à de l ' entr' aide / dépannage sur d ' autres forums que celui-ci
et j ' avais remarqué depuis longtemps que 8 internautes sur10 qui avaient des problémes avec leur PC , utilisaient < Avast >
ce n ' est pas une idée reçue , c ' est une statistique


ensuite la relation de cause à effet , c ' est pas évident a prouver !
quoique !!
https://www.clubic.com/avis/telecharger-fiche11113-avast-antivirus-gratuit.html


seulement , tous ceux à qui j ' ai conseillé de supprimer Avast pour résoudre des problémes " tenaces " ont été satisfaits ;
surtout maintenant avec windows10
Je précise quand même que sur un forum , je donne une réponse à la personne qui a ouvert le fil
je donne pas de réponses pour la terre entiére ;
--------------------------------------------
des piliers de ce forum

-----------------------------------------
de qui parles-tu ??
Il y a un spécialiste pour la suite de Sécurité Orange
pour les autres problémes d ' anti-virus , je suis obligé de me dévouer , car ce forum est dédié aux produits et services d ' Orange ;
des spécialistes , il y en a plus !
la rubrique securité , virus , antivirus est un terrain miné ; le forum a déjà explosé une fois
Alors les problémes d ' Avast devraient étre traités chez Avast
---------------------
des tops sur des messages ont une signification a géométrie variable ;
ça veut souvent simplement dire < Bonjour >


Tu me cites des exemples de failles qui auraient été trouvées par Avast /Avg , thunderbird , Kaspersky ,etc.ok !


mais que ce soit ces failles ou tant d ' autres qu ' on apprend sur les forums ,
explique moi pourquoi chez moi , il y en a pas !!
jamais de failles , jamais de virus , jamais de phishing , jamais de spams , jamais de ....
______________________
peut-étre travailles tu chez Avast ?dans ce cas , tu m ' en vois désolé


Passe une bonne journée ( sans rancunes )
@+

Vous avez une question ?

Interrogez la communauté

Déjà 753012 membres inscrits 🧡

3581 personnes actuellement en ligne

Tous les membres en ligne