Cela fait des années que l'on sait que l'« infrastructure de clefs publiques » utilisée pour les « sites sécurisés » (transmissions chiffrées) a un énorme point faible : les autorités qui délivrent les « certificats » ne vérifient pas proprement à qui elles délivrent un certificat au nom de qui.

En mars 2011, des iraniens obtiennent des certificats au nom de Google, GMail etc. (voir aussi ici). Rebelote en août. Il me semble qu'il y a quelques années, quelqu'un avait pu se faire remettre des certificats SSL au nom de Microsoft !

On ne peut que se demander comment une autorité de signature ne tique pas quand on lui demande de signer un certificat au nom de Microsoft ou Google... ou, en cas de piratage, ne détecte pas pareils certificats..