Pour gérer vos consentements :
Categories: Marketing

Mozilla réclame un audit des autorités de certification

Sur fond de polémiques liées aux faux certificats de sécurité émis par DigiNotar et Comodo, la Fondation Mozilla veut reprendre le contrôle.

Elle demande un audit des sociétés concernées tant le sujet est sensible.

Ces sociétés, dites « tiers de confiance », émettent des certificats commercialisés auprès des éditeurs pour garantir la sécurité du trafic généré via leurs sites Internet.

Devant la gravité de la situation, la Fondation Mozilla, qui développe le navigateur Firefox, exige des garanties.

Elle souhaite que les acteurs concernés adoptent un plan en 5 actions, sous peine d’exclusion à son programme root (certificat racine).

  1. Un audit de leurs infrastructures à clés publiques (PKI), à la recherche d’intrusions ou de vols de données
  2. Fournir à Mozilla une liste complète des certificats racine tiers utilisé par Mozilla qu’ils ont co-signé, incluant ceux d’autres autorités de certifications (Certification Authority ou CA en anglais) et revendeurs
  3. Mettre en place une procédure d’identification multiple pour les comptes pouvant créer un certificat
  4. Créer des blocages automatiques pour les domaines importants, dont ceux qui ont été attaqués dans les affaires Comodo et DigiNotar
  5. Vérifier que les autres CA, revendeurs et partenaires qui peuvent ajouter des certificats à leur certificat racine ont des procédures de sécurité en place, et sont audités.

Selon la Fondation Mozilla, c’est une question de crédibilité des moyens de sécurité du Web (SSL, HTTPS et autres technologies de chiffrements utilisant des clés publiques).

Pour Kathleen Wilson, Responsable des « certificats racines » pour le compte de la Fondation Mozilla, ce n’est pas une menace adressée aux spécialistes de l’authentification des sites Web  : « Nous croyons que la meilleure approche pour protéger la sécurité est de travailler avec les CA comme des partenaires, pour entretenir une communication franche et ouverte, et d’être assidu dans la recherche de moyens de s’améliorer. »

Elle fixe également une échéance : les autorités concernées doivent rendre leurs copies au 16 septembre.

Si besoin est, la Fondation Mozilla prendra « les mesures nécessaires afin d’assurer la sécurité de ses utilisateurs ».

On ne plaisante pas : ce type de faille dans les certificats SSL délivrés facilite les attaques « man in the middle » : en se plaçant entre l’internaute devant son poste et le serveur d’un éditeur de sites Web, un pirate peut intercepter les échanges.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago