Quand un site d'e-commerce propose un paiement via Sogenactif de la société générale, les certificats ne sont reconnus par aucune autorité de certification présente dans le navigateur Mozilla Firefox. Le chiffrement ne se fait pas. Je voudrais le signaler à la Société générale mais impossible de trouver un contact dédié à la sécurité informatique. Le support se contente de répondre "utilisez un autre navigateur web). Quelqu'un aurait-il une adresse où on peut écrire ?
Journal Certificat non reconnu, qui contacter à la Société Générale ?
13
août
2021
# Coordonnées trouvées
Posté par Scoubidouhoua . Évalué à 3.
J'ai écris à protectiondesdonnees@societegenerale.fr qui a répondu avoir transmis. Ça devrait être bon.
# pour moi tout va bien
Posté par fox (site web personnel) . Évalué à 3.
De ce que je vois le certificat est valide et expire le 31 mars 2022, certificat émis par QuoVadis Limited. Donc je dirais que le souci est plutot avec ton navigateur.
[^] # Re: pour moi tout va bien
Posté par Benoît Sibaud (site web personnel) . Évalué à 10. Dernière modification le 13 août 2021 à 12:09.
Il y a eu une polémique sur ce fournisseur lié à un espiongiciel.
https://korben.info/cest-lheure-de-supprimer-les-certificats-foireux-des-cyber-mercenaires-de-darkmatter.html
https://www.zdnet.com/article/google-bans-darkmatter-certificates-from-chrome-and-android/
https://www.bleepingcomputer.com/news/security/mozilla-blocks-darkmatter-from-becoming-a-trusted-ca-in-firefox/
[^] # Re: pour moi tout va bien
Posté par Scoubidouhoua . Évalué à 3.
Merci pour l'info sur QuoVadis. Donc La société générale utilise bien des certificats fournis par une autorité de certification aussi pourrie que les auteurs de Pegasus.
# Pas Firefox
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 13 août 2021 à 13:30.
J'ai Firefox fourni par Mozilla et ce dernier a QuoVadis, l'URL que tu essayes marche très bien avec Firefox (sous Windows 10, mais pareil avec Firefox fournis par Ubuntu 20.04).
donc attention : le problème n'est pas avec Mozilla Firefox, mais avec la personne en charge des certificats sur ta machine (mainteneur de distro? QuoVadis supprimé manuellement?) et le problème est loin d'être global à Firefox, même pas Linux, donc très peu de "cas" si ce n'est pas toi qui a fait quelque chose.
A noter que si tu supprimes le Certificat Let's Encrypt pour une raison quelconque, tu aurais le même problème avec LinuxFr (qui était d'ailleurs à une époque l'un des rares sites avec cette erreur, du fait que l'intermédiaire choisi par les responsables de LinuxFr était accepté nul part à part Debian qui a aussi viré la chose, à force ils ont lâché et utilisé un truc correct parce que leur choix prosélytiste devenait intenable suite à un audit ayant montré que c'était troué).
Bref le problème n'est pas le navigateur Mozilla Firefox qui marche très bien au moins sur les OS majeurs avec le site dont tu parles, il faudrait que tu cernes le problème en sachant qui a viré un truc, et ensuite décider si tu essayes de motiver la SG à changer de fournisseur pour la raison que tu leur donneras, tu feras de la politique et non de la technique.
Sans ça, la réponse que tu recevras sera (à raison) "non reproductible".
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 7.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas Firefox
Posté par Scoubidouhoua . Évalué à 1. Dernière modification le 13 août 2021 à 18:10.
C'est une Linux Mint 20.2 Cinnamon fraîchement installée et je n'ai rien viré dans la liste des certificats ni dans la liste des autorités de certification.
[^] # Re: Pas Firefox
Posté par seveso . Évalué à 2.
Tu as peut-être "bidouillé" le paquet ca-certificates. Tu peux vérifier/corriger ça avec cette commande normalement :
sudo dpkg-reconfigure ca-certificates
[^] # Re: Pas Firefox
Posté par Scoubidouhoua . Évalué à 2.
Non, je n'ai rien bidouillé, c'est une installation par défaut. Je viens quand même de taper cette commande, j'ai 129 certificats d'autorités de certification à la fin et j'ai toujours la même erreur chez un marchand qui utilise cette plateforme de paiement.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas Firefox
Posté par ted (site web personnel) . Évalué à 2.
Quand tu dis "fraichement installée", est ce que tu as peut être réinstallé en conservant des données personnelles, et donc gardé un ancien profil de Firefox? Si tu crées un nouvel utilisateur et teste depuis sa session, tu as le même problème?
Un LUG en Lorraine : https://enunclic-cappel.fr
# Le chiffrement ne se fait pas
Posté par NicolasP . Évalué à 3.
Petit point de détail : le chiffrement "se fait". Par contre, tu n'as pas de garantie qu'il soit fait de manière à ce que seuls la société générale et toi puissiez déchiffrer le trafic.
[^] # Re: Le chiffrement ne se fait pas
Posté par Scoubidouhoua . Évalué à 1.
Oui. Mais je n'ai pas validé l'exception et ne la validerai pas, je ferai mon achat quand ce sera réglé.
# Source du problème
Posté par Scoubidouhoua . Évalué à 2. Dernière modification le 13 août 2021 à 20:26.
La première réponse de l'équipe sécurité de la société générale :
"Les premières analyses indiquent jusqu’à présent qu’y compris dans ce contexte, les données sont bien chiffrées.
Il semblerait que le message que vous avez reçu correspondrait à celui émis lorsqu’une machine est configurée avec une date dans le futur/passé (une date supérieure à 23/03/2022 ou inférieure à 31/03/2021).
N’hésitez pas à nous confirmer / infirmer cette hypothèse.
"
J'ai répondu que je suis bien synchronisé avec les serveurs NTP
Personne d'autre n'a réussi à reproduire cette erreur de certificat ?
[^] # Re: Source du problème
Posté par NicolasP . Évalué à 4.
Le message d'erreur de FF dans ce cas aurait été différent de celui de ton screenshot : "Soit le site est mal configuré, soit l’horloge de votre ordinateur est réglée à la mauvaise heure."
Pas moi. Pour confirmer qu'il s'agit bien d'un problème de CA chez toi, clique sur le bouton "Avancé" et regardes le code d'erreur. Pour une CA non reconnue, c'est SEC_ERROR_UNKNOWN_ISSUER
Par ailleurs, si tu affiches le certificat, tu as quoi comme empreinte SHA-256 pour vérifier qu'on parle bien du même ?
De mon côté, c'est :
F9:0F:D8:63:D5:9A:FE:EC:1B:73:07:AE:8B:63:CC:CF:66:A4:8B:8D:B8:38:47:1C:A0:D1:5C:67:73:50:B2:C2
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 2.
J'ai :
Quelqu’un pourrait être en train d’essayer d’usurper l’identité du site. Vous ne devriez pas poursuivre.
Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à payment-webinit.sogenactif.com, car l’émetteur de son certificat est inconnu, le certificat est auto-signé ou le serveur n’envoie pas les certificats intermédiaires corrects.
Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER
SHA-256
F9:0F:D8:63:D5:9A:FE:EC:1B:73:07:AE:8B:63:CC:CF:66:A4:8B:8D:B8:38:47:1C:A0:D1:5C:67:73:50:B2:C2
[^] # Re: Source du problème
Posté par NicolasP . Évalué à 4.
Donc on a le même certificat qui nous est présenté, mais chez toi le chemin de certification n'est pas validé, ce qui est probablement dû à une autorité de certification non reconnue.
Je suis sur KDE Neon, il faudrait un autre utilisateur de Cinnamon pour vérifier si ça vient de la distrib ou de ta config (ou alors tu réinstalles dans une VM pour vérifier).
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 2. Dernière modification le 13 août 2021 à 21:29.
Avec Linux Mint 20.2 Cinnamon installé dans une VM et avec la même version de Firefox :
https://wtf.roflcopter.fr/pics/h7q4nNLl/Cxo6sLtD.png
https://wtf.roflcopter.fr/pics/JLq5zpZa/r12oHHqB.png
C'est parce qu'il faut d'abord faire l'achat sur le site web d'origine qui redirige vers le site de paiement. Ce que j'ai fait et ça marche ! Donc il y a bien un souci sur mon poste, mais où ???
En tout cas, merci pour l'aide.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0. Dernière modification le 13 août 2021 à 21:51.
Ce que je ne comprends pas non plus, c'est que sur mon poste, j'ai vidé tous mes caches et désactivé toutes mes extensions puis redémarré Firefox. J'arrive à accéder à https://payment-webinit.sogenactif.com/paymentInit sans passer par le site marchand (j'ai alors l'erreur à propos du certificat), alors que dans la VM, j'ai de suite une erreur 500.
[^] # Re: Source du problème
Posté par NicolasP . Évalué à 2.
Dans l'ordre c'est d'abord l'établissement de la connexion TLS puis les échanges HTTP dont le code d'erreur.
Du coup, sur ton PC : pas d'établissement de connexion TLS donc pas d'erreur HTTP.
Sur ta VM : établissement de la connexion TLS puis erreur HTTP.
Si sur ton PC, tu passes outre les avertissements de sécurité, tu obtiendras aussi l'erreur 500.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0.
Ah oui, c'est plus clair maintenant. Donc j'ai un souci avec ma liste de certificats signés par les autorités de certification. J'ai réinstallé les paquets ca-certificate, ca-certificate-java et ca-certificate-mono, que dalle, toujours l'alerte. Je vais essayer avec un nouveau profil de Firefox.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0.
Avec un nouveau profil, je n'ai plus le problème de certificat. J'ai 36 onglets d'ouverts, ça pourrait perturber ?
[^] # Re: Source du problème
Posté par NicolasP . Évalué à 1.
Du coup, c'est peut-être une extension qui pose problème. Si tu en as qui font des actions sur les certificats, essaye de les désactiver.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0.
J'ai déjà testé ça. J'ai vidé tous mes caches, désactivé toutes mes extensions puis redémarré Firefox. J'ai alors l'erreur à propos du certificat.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0.
Il y a peut-être un paramètre de configuration qui diffère entre les 2 mais je ne le vois pas.
Je sèche complètement.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0.
Et le pire, c'est que c'est uniquement avec ce site web que j'ai ce problème !
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 0. Dernière modification le 14 août 2021 à 13:35.
J'ai désactivé mon pare-feu dès fois qu'un protocole tel que l'interrogation des serveurs OCSP soit bloqué. Nada.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 1.
J'ai comparé ma liste de CA entre mon poste et la VM, j'ai juste 2 certificats en plus : https://wtf.roflcopter.fr/pics/dCmMer3X/fQlj0dBz.png
Ils auraient dû être révoqués, je suppose : https://en.wikipedia.org/wiki/DigiNotar
Je les ai enlevés, mais ça ne résoud évidemment pas mon problème.
[^] # Re: Source du problème
Posté par Scoubidouhoua . Évalué à 1.
J'utilise Mozilla Firefox 91.0, Linux Mint 20.2 Cinnamon. Tu utilises la même chose ?
# Lien
Posté par Scoubidouhoua . Évalué à 0.
Je mets le lien pour tester : https://payment-webinit.sogenactif.com/paymentInit
[^] # Re: Lien
Posté par Miss_Azure . Évalué à 0.
J' ai bien l'erreur mais j'ai virée les certificats de QuoVadis de Firefox .
Regardez si vous avez le certificat root " QuoVadis Root CA 2 G3" dans Firefox .
[^] # Re: Lien
Posté par Scoubidouhoua . Évalué à 0.
Tu as l'erreur de certificat ou le certificat est reconnu et tu as l'erreur du serveur HTTP ?
[^] # Re: Lien
Posté par Miss_Azure . Évalué à 0.
L'erreur du certificat non reconnu
[^] # Re: Lien
Posté par Miss_Azure . Évalué à 0.
Voila l'erreur en question (Error code: SEC_ERROR_UNKNOWN_ISSUER)
[^] # Re: Lien
Posté par Scoubidouhoua . Évalué à 0.
Très intéressant. Donc je ne suis pas le seul à avoir ce problème avec ce certificat en particulier. J'ai installé Linux Mint 20.2 Cinnamon mais en conservant tout mon dossier home et donc mon ancien profil Firefox. Je suppose que ton profil est aussi ancien ? Il y a eu quelque chose dans Firefox à un moment donné qui l'empêche d'authentifier ce certificat.
[^] # Re: Lien
Posté par Scoubidouhoua . Évalué à 0.
J'avais mal lu. C'est normal que tu aies l'erreur si tu as supprimé les certificats Quo Vadis (ce qu'il ne fallait pas faire). J'ai bien ces certificats : https://wtf.roflcopter.fr/pics/NVvkucNK/Qq0lTtGU.png
[^] # Re: Lien
Posté par seveso . Évalué à 1.
Il manque le certificat intermédiaire "QuoVadis Global SSL ICA G3"
.
Ce certificat n'est pas inclus dans Firefox, mais devrait être téléchargé et validé automatiquement puisqu'il est signé par "QuoVadis Root CA 2 G3", qui lui, est bien présent dans ton FF.
Reste à comprendre pourquoi ce certificat intermédiaire n'a pas été récupéré automatiquement par FF.
[^] # Re: Lien
Posté par Scoubidouhoua . Évalué à 0.
Je n'ai pas ce certificat non plus dans le Firefox ma machine virtuelle et pourtant, ça passe, le chiffrement se fait.
[^] # Re: Lien
Posté par NicolasP . Évalué à 2.
Un point qui pourrait être intéressant à vérifier c'est si c'est bien le même certificat de la CA entre le PC et la VM (même empreinte ?).
[^] # Re: Lien
Posté par Scoubidouhoua . Évalué à 0. Dernière modification le 16 août 2021 à 11:15.
Je viens de vérifier les 5 certificats QuoVadis que j’ai sur mon poste et dans la VM, ils ont chacun la même empreinte sha256 (du moins à l'affichage).
[^] # Re: Lien
Posté par NicolasP . Évalué à 1. Dernière modification le 15 août 2021 à 20:20.
Le serveur étant bien configuré, il transmet toute la chaîne de certification y compris le certificat intermédiaire. Il n'a donc pas besoin d'être connu par Firefox.
[^] # Re: Lien
Posté par Scoubidouhoua . Évalué à 0. Dernière modification le 15 août 2021 à 11:00.
J'ai aussi supprimé les certificats de QuoVaids. J'ai refait un sudo dpkg-reconfigure ca-certificates, les certificats QuoVadis ont été rajoutés et j'ai toujours l'erreur de certificat sur la plateforme de paiement de la Société Générale. Vraiment bizarre.
# forum ?
Posté par steph1978 . Évalué à 10.
IMHO ce contenu a plus sa place dans les forums que dans les journaux.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.