Mozilla réclame un audit des autorités de certification

Sur fond de polémiques liées aux faux certificats de sécurité émis par DigiNotar et Comodo, la Fondation Mozilla veut reprendre le contrôle.

Elle demande un audit des sociétés concernées tant le sujet est sensible.

Ces sociétés, dites « tiers de confiance », émettent des certificats commercialisés auprès des éditeurs pour garantir la sécurité du trafic généré via leurs sites Internet.

Devant la gravité de la situation, la Fondation Mozilla, qui développe le navigateur Firefox, exige des garanties.

Elle souhaite que les acteurs concernés adoptent un plan en 5 actions, sous peine d’exclusion à son programme root (certificat racine).

1. Un audit de leurs infrastructures à clés publiques (PKI), à la recherche d’intrusions ou de vols de données
2. Fournir à Mozilla une liste complète des certificats racine tiers utilisé par Mozilla qu’ils ont co-signé, incluant ceux d’autres autorités de certifications (Certification Authority ou CA en anglais) et revendeurs
3. Mettre en place une procédure d’identification multiple pour les comptes pouvant créer un certificat
4. Créer des blocages automatiques pour les domaines importants, dont ceux qui ont été attaqués dans les affaires Comodo et DigiNotar
5. Vérifier que les autres CA, revendeurs et partenaires qui peuvent ajouter des certificats à leur certificat racine ont des procédures de sécurité en place, et sont audités.

Selon la Fondation Mozilla, c’est une question de crédibilité des moyens de sécurité du Web (SSL, HTTPS et autres technologies de chiffrements utilisant des clés publiques).

Pour Kathleen Wilson, Responsable des « certificats racines » pour le compte de la Fondation Mozilla, ce n’est pas une menace adressée aux spécialistes de l’authentification des sites Web  : « Nous croyons que la meilleure approche pour protéger la sécurité est de travailler avec les CA comme des partenaires, pour entretenir une communication franche et ouverte, et d’être assidu dans la recherche de moyens de s’améliorer. »

Elle fixe également une échéance : les autorités concernées doivent rendre leurs copies au 16 septembre.

Si besoin est, la Fondation Mozilla prendra « les mesures nécessaires afin d’assurer la sécurité de ses utilisateurs ».

On ne plaisante pas : ce type de faille dans les certificats SSL délivrés facilite les attaques « man in the middle » : en se plaçant entre l’internaute devant son poste et le serveur d’un éditeur de sites Web, un pirate peut intercepter les échanges.