Google – Symantec : le torchon brûle sur les certificats HTTPS
Google semble déterminé à imposer davantage de rigueur aux autorités de certification. En première ligne, celle exploitée par Symantec.
C’est au pied du mur qu’on voit Symantec.
L’éditeur américain spécialisé dans la sécurité informatique est mis devant ses responsabilités par Google, qui lui laisse jusqu’au 1er juin 2016 pour rendre des comptes détaillés sur les processus de son autorité de certification, baptisée Thawte.
Faute de quoi les certificats émis par cette dernière feront systématiquement l’objet d’une alerte dans Chrome, premier navigateur mondial aussi bien au baromètre de Net Applications qu’au dernier pointage de StatCounter.
Pour saisir les subtilités de ce dossier, il faut remonter à ses origines, le mois dernier.
Le 18 septembre, Symantec annonçait avoir découvert que certains de ses employés – remerciés depuis lors – émettaient des certificats de chiffrement TLS non autorisés permettant d’usurper l’identité de sites HTTPS.
L’éditeur se voulait rassurant : la manipulation ne concernerait qu’un « petit nombre de certificats de test » émis pour trois domaines « lors de tests de produits ». Au nombre de 23, les certificats en question seraient par ailleurs « restés sous contrôle ».
Constatant que certains de ces certificats concernaient ses domaines google.com et www.google.com, le moteur de recherche avait fini par interpeller Symantec, lequel avait rouvert son enquête jusqu’à reconnaître, le 12 octobre, la réelle ampleur du problème.
Le nouveau bilan fait état de 164 certificats non autorisés supplémentaires émis pour 76 domaines… ainsi que 2 458 certificats associés à des domaines non enregistrés (une pratique interdite depuis avril 2014).
Un cafouillage qui pousse Google à mettre la pression en déclarant : « Constater qu’une autorité de certification peut avoir un problème de cette nature et qu’elle est incapable d’en mesurer la portée après en avoir été alertée et avoir réalisé un audit s’avère très inquiétant. »
Que demande le groupe Internet ? Que Symantec se conforme au protocole Certificate Transparency, qui soumet les autorités de certification à un système auditable et public d’enregistrement des émissions de certificats.
Déjà imposé depuis janvier 2015 par Google pour les certificats à validation étendue (ou certificats EV, qui permettent de prouver que le propriétaire d’un site Web a les droits exclusifs sur le nom de domaine pour lequel il demande un certificat), l’enregistrement s’étendra donc, pour Symantec, à tous les certificats au milieu de l’année prochaine.
Google va plus loin en réclamant une analyse détaillant pourquoi les certificats supplémentaires détectés par ses soins n’ont pas été identifiés initialement. Tout en demandant à Symantec les raisons qui l’ont poussé à affirmer que ces défaillances résultent d’erreurs individuelles.
Et ce n’est pas tout : le spécialiste de la sécurité est également sommé de prouver sa conformité à un certain nombre de standards du domaine et de faire réaliser un audit par une tierce partie, note Silicon.fr.
La firme a réagi rapidement. Assurant avoir déjà « mis en place des outils, des processus et des règles supplémentaires », elle fait aussi part de sa volonté de se conformer au Certificate Transparency pour tous les certificats qu’elle émet.
Crédit photo : igor.stevanovic – Shutterstock.com