Chrome menace de bloquer les certificats émis par Symantec
Pour Google, les certificats représentent un sujet de la plus haute importance. L’éditeur de solutions de sécurité Symantec peut mesurer la détermination de la firme de Mountain View, qui vient de lui poser un ultimatum jusqu’au 1er juin 2016 pour se soumettre à une série d’exigences, faute de quoi ses certificats seront systématiquement signalés comme malveillants par le navigateur Chrome.
Une série d’exigences imposées à Symantec…
Le problème remonte au mois de septembre, lorsque Google détecte des certificats frauduleux émis par Thawte, l’autorité de certification de Symantec. Ces certificats de chiffrement TLS non autorisés, qui concernaient les domaines google.com et www.google.com, auraient été émis par quelques employés dans le cadre de « tests de produits ». Symantec avait immédiatement licencié les personnes responsables, et assuré que l’incident n’avait entraîné aucune faille de sécurité.
Bien que rapide, la réaction n’a pas satisfait le géant de l’Internet, qui somme aujourd’hui la société de cybersécurité norton de réévaluer les politiques internes de son autorité de certification et de se conformer à ses standards, formalisé par le protocole baptisé « Certificate Transparency ». Par ailleurs, Symantec devra se soumettre à un audit avant la fin du premier semestre.
… sous peine d’être désavoué par Chrome
Si la société refuse de coopérer, ses certificats pourraient être refusés par Chrome. Concrètement, chaque fois le navigateur sera confronté à un certificat signé Thawte, il émettra une alerte de sécurité indiquant à l’internaute que le nom de domaine est potentiellement malveillant.
Or, Chrome est l’un des navigateurs les plus répandus sur le marché. Cette manifestation de sa perte de confiance risque donc de porter un gros coup à Symantec, à l’image du Néerlandais DigiNotar, qui a déposé le bilan à la suite d’un piratage de grande ampleur.
Pourquoi de telles exigences ?
Si Google se montre aussi intraitable, c’est que les erreurs se sont accumulées du côté de l’éditeur. En septembre, il avait en effet affirmé qu’elle ne portait que sur « un petit nombre de certificats de test ».
Moins d’un mois plus tard, les chiffres dévoilés dans son livre blanc montraient la réelle gravité de l’affaire : 164 nouveaux certificats non autorisés avaient été émis pour 76 domaines sans avoir été autorisés par leurs titulaires respectifs, et 2458 pour des domaines non enregistrés, alors que cette pratique est interdite depuis avril 2014.
Le risque avec ces certificats est qu’ils menacent la sécurité du détenteur du nom de domaine correspondant. Des utilisateurs malintentionnés pourraient s’en servir pour usurper l’identité de Google et détourner le trafic d’internautes persuadés de se connecter à google.com.
Plusieurs autorités de certification dans le collimateur de Google
Symantec n’est pas le premier à s’attirer les foudres de Google. Pour des problèmes similaires de certificats non autorisés, Chrome et d’autres navigateurs avaient déjà bloqué des certificats émis par Chine Internet Network Information Center, le National Informatics Centre indien, et même notre Anssi nationale.
Mais cette fois, il ne s’agit plus d’un simple avertissement. Symantec s’est empressée de confirmer sa volonté d’aligner ses processus internes aux critères WebTrust ainsi que la demande d’un audit par une entité tierce.