Certificats de sécurité : Mozilla affiche sa colère

Des audits de sécurité exigés 27
mozillaL’actualité cette semaine sur le plan de la sécurité a notamment été marquée par des détails supplémentaires sur le piratage de la société néerlandaise DigiNotar. Cette attaque a eu certaines conséquences, notamment des interrogations sur la viabilité du système complet des certificats de sécurité, et surtout sur les navigateurs dont plusieurs ont déjà été mis à jour. Et à ce sujet, Mozilla fait clairement entendre son opinion.

L’éditeur de Firefox n’y va pas avec le dos de la cuillère. Dans un courrier envoyé aux sociétés éditant les certificats racines (root), Kathleen Wilson, l’une des responsables de Mozilla, expose la situation. Elle leur demande de mettre en place des protections et des audits afin d’inspecter totalement l'infrastructure de sécurité.

Pourquoi ? Parce que Firefox possède ces certificats racines. Or, si ces derniers sont menacés, c’est toute la chaine de la confiance qui est à revoir. De plus, si l’utilisateur a un problème de sécurité, c’est évidemment vers le navigateur qu’il va se tourner pour se plaindre, la majorité ne connaissant d’ailleurs pas le système des certificats. Et pour appuyer sa demande, Mozilla n’hésite d’ailleurs pas à menacer.

L’éditeur est très clair dans son courrier : « La participation au programme racine de Mozilla est à notre seule discrétion, et nous prendrons toutes les mesures nécessaires pour garder nos utilisateurs en sécurité », avant de se radoucir : « Néanmoins, nous pensons que la meilleure approche pour sauvegarder cette sécurité est de travailler avec les autorités de certifications en tant que partenaires ».

De quelles mesures « nécessaires » parle donc Mozilla ? À l’échelle de l’éditeur et donc de Firefox, il n’en existe qu’une : la révocation des certificats racines dans le navigateur, via le rejet d’une ou plusieurs autorités de certifications.

Espérons toutefois que Mozilla n’en arrivera pas à cette extrémité, car la victime sera bel et bien l’utilisateur, qui recevra des alertes de sécurité sur des sites pour lesquels il n’avait auparavant aucun problème. 
Publiée le 10/09/2011 à 09:00 - Source : Mozilla
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €