211service.com
Les faux certificats révèlent des failles dans la sécurité d'Internet
Une brèche majeure chez un fournisseur néerlandais de certificats numériques a amené certains experts en sécurité à remettre en question l'infrastructure qui sous-tend la sécurité d'Internet.
La violation a permis à des attaquants inconnus d'émettre au moins 531 certificats frauduleux pour des domaines majeurs, notamment Google.com, Microsoft.com et Yahoo.com. Les certificats sont censés vérifier l'authenticité d'un site Web pour le navigateur Web d'un visiteur ; cette vérification empêche un attaquant d'utiliser une adresse de domaine falsifiée pour voler des données. Les certificats contiennent des données cryptées qui permettent aux navigateurs et autres logiciels de confirmer qu'un site Web est légitime. Ainsi, en compromettant le certificat numérique, un attaquant peut se faire passer pour un site Web sécurisé, tel que Gmail de Google, et intercepter les communications, ou contourner les mécanismes de sécurité et installer des logiciels malveillants.
Ce qui est inhabituel ici, ce n'est pas qu'une autorité de certification ait été compromise, mais que quelqu'un l'ait remarqué, explique Moxie Marlinspike, directeur de la technologie et cofondateur de Whisper Systems, une entreprise spécialisée dans la sécurisation des communications mobiles. Cela se produit tout le temps.
La société de certificats compromis, DigiNotar, est l'une des quelque 650 sociétés, connues sous le nom d'autorités de certification, ou CA, auxquelles on fait confiance pour émettre les certificats. Plus tôt cette année, une autre autorité de certification, Comodo, a reconnu qu'un attaquant avait violé la sécurité de ses systèmes et émis au moins neuf certificats pour de grands domaines, dont Google, Skype et Yahoo. Lors de la Black Hat Security Conference en août, Marlinspike a critiqué le système actuel d'autorités de certification et a proposé un modèle différent, connu sous le nom de Convergence, basé sur un modèle de confiance peer-to-peer.
L'Electronic Frontier Foundation, un groupe de défense des droits numériques, a fait valoir dans une analyse publié cette semaine que les effractions récentes suggèrent que le choix de faire ou non confiance à une autorité de certification devrait appartenir à l'utilisateur, et non aux fournisseurs de navigateurs ou aux sites Web.
Ces AC semblent exister dans une cinquantaine de juridictions de pays, écrivent les auteurs du rapport. N'importe lequel de ces pays pourrait éventuellement obliger une autorité de certification à créer des certificats frauduleux à des fins d'espionnage ou pour espionner les citoyens de ce pays.
La dernière attaque démontre qu'une seule brèche peut avoir des effets de grande envergure. UNE rapport préliminaire publié par la société de sécurité néerlandaise Fox-IT début septembre a révélé que les intrus avaient exploité des faiblesses importantes dans la sécurité du réseau de DigiNotar, notamment un compte unique capable de contrôler tous ses serveurs de certificats et d'utiliser un mot de passe faible pour accéder au compte. L'entreprise a découvert que plus de 300 000 adresses IP uniques, provenant presque entièrement d'Iran, avaient rencontré un certificat frauduleux émis pour le domaine de Google. Déjà, Apple, Google, Microsoft et Mozilla ont mis à jour leur navigateur pour se méfier de tout certificat signé par DigiNotar.
Le gouvernement néerlandais, qui s'appuie sur les signatures numériques émises par DigiNotar pour ses communications cryptées, a repris les opérations de certification de l'entreprise. En outre, il enquête pour savoir si l'accent mis sur les utilisateurs iraniens pourrait indiquer que le gouvernement du pays pourrait avoir été impliqué dans l'attaque.
Le système de certificats fonctionne, mais doit se concentrer davantage sur la sécurité, déclare Amar Doshi, responsable principal des produits de certificats chez la société de sécurité Symantec, qui a acquis et gère désormais l'autorité de certification VeriSign.
Tous les événements des deux dernières semaines montrent vraiment que 'un certificat est un certificat est un certificat' ne s'applique pas vraiment, dit Doshi. Il existe des différences entre les certificats. Il existe des différences entre les CA.
Certains des fabricants de navigateurs semblent prêts à se concentrer sur ces différences. La semaine dernière, la fondation Mozilla, le groupe qui gère le développement du navigateur Firefox, a fourni aux autorités de certification une liste de contrôles de sécurité à effectuer en huit jours. Il a déclaré que toute autorité qui ne se conformerait pas à la demande pourrait trouver des certificats émis par elle, jugés non fiables par Mozilla.
La participation au programme racine de Mozilla est à notre seule discrétion, et nous prendrons toutes les mesures nécessaires pour assurer la sécurité de nos utilisateurs, Kathleen Wilson, la responsable du programme en charge du module de certificats CA de Mozilla, dit dans un e-mail aux autorités de certification.