[gull] Faille vote électronique de Genève

Marc SCHAEFER schaefer at alphanet.ch
Mon Nov 5 09:17:29 CET 2018


On Sun, Nov 04, 2018 at 10:52:31PM +0100, Marc Mongenet wrote:
> Dans la démo, le démonstrateur tape www.evote-ch.ch dans la barre d'adresse,

Je n'ai pas regardé la vidéo en allemand, mais il me semble que HSTS[1]
pourrait éventuellement aider (dès la 2e connexion).  Ou habituer
les gens à écrire https://www.evote-ch.ch/, mais vu que les clients
WWW ont habitué les gens à ne plus écrire le http:// voire même
le .com ...

On est plus dans le social engineering que la technique (apprendre
à vérifier à qui a été délivré un certificat en cliquant sur le
cadenas systématiquement ?)

Et effectivement, seul un déploiement conséquent[2] (domaines signés
MAIS AUSSI clients DNS contrôlant) de DNSSEC pourrait arriver à
quelque chose (ou éventuellement le nouveau DNS sur HTTPS[3]
qui a été proposé, il pourrait être déployé sur les navigateurs
rapidement mais causera des problèmes en cas de VIEWS séparées
locales ou pour le respect de la sphère privée[4]).

[1] https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
[2] https://blog.apnic.net/2017/12/06/dnssec-deployment-remains-low/
    (ça fait 21 ans déjà)
[3] https://en.wikipedia.org/wiki/DNS_over_HTTPS
[4] https://searchsecurity.techtarget.com/answer/What-are-the-implications-of-DNS-over-HTTPS-for-privacy


More information about the gull mailing list