Bonjour, je bosse dans l'IT et même si les certificat n'est pas mon cœur de métier je m'y intéresse.
 
J'avais une simple question dans le cas de la signature numérique :
 
Je connais le principe de la signature et son mécanisme, hors j'ai un question.
 
Dans le cas d'un envoie A vers B.
 
Le seule moyen pour moi d'usurper l’identité d'une personne A envoyant un message signé et une attaque type "man in the middle" par C.
 
A -> C -> B
 
C'est à dire intercepter le message de A, C en change le certificat (usurpé) et la signature publique, puis le renvoyer à son destinataire B. B croit donc avoir affaire à A alors que c'est C.
 
J'avais donc une question, qu'est ce qui empêche C d'usurper l'identité de A ?  
 
Qu'est ce qui empêche C de réclamer un certificat à un CA quelconque avec les informations de A et donc avoir un certificat valide usurpant l'identité de A ?
 
Il y a plusieurs CA dans le monde, est-ce qu'elles se parlent entre-elles ? Qu'est ce qui empêche certaines d’émettre des doublons ?  
 
J'avoue ne pas comprendre.
 
Sur un infra informatique on a pas se problème, le CA est local et privé, il fourni un certificat par machine/user, mais là on est sur des organismes publiques, n'y a-t-il par risque de couacs ?  
 
Merci pour votre éclairage    

Un CA est justement censé faire le boulot pour lequel on le paie, à savoir vérifier l'identité de ses clients.
 
Le souci est qu'en pratique ca arrive régulièrement, que ce soit par erreur ou pour des raisons politiques ou pratiques, qu'un CA refile un certif à un tiers.
 
Si tu t'appelles Maurice et que tu veux un CA pour usurper Google, effectivement tu auras un peu de mal, par contre si tu es un gouvernement ou une grosse boite qui vend par exemple des firewalls / reverse proxy, tu pourras toujours te débrouiller pour en obtenir un.

Ouai donc faut faire confiance au tiers de confiance
 
Putain ça craint quand même

non ça craint pas.
ca craint moins qu'un certificat d'un organise inconnu.

en local, ca peut craindre aussi
t'imagine : tu sais qu'il faut créer une exception pour accepter le certif ex: tes users connaissent le trick...

si un type te fait un MIM et monte un proxy pour intercepter tes flux, tes users vont accepter ou monter une exception sans réfléchir
si t'as monté un service de validation... t'es sur que tes certifs sont en lieu sûrs et répondent aux critères d'intégrité, authenticité ?