Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google monte au créneau contre un certificat de sécurité généré en son nom

Vite, un sparadrap
Internet 3 min
Google monte au créneau contre un certificat de sécurité généré en son nom
Crédits : stevanovicigor/iStock/Thinkstock

Sale temps pour les certificats. Après le scandale SuperFish chez Lenovo et, plus récemment, le cas d’un utilisateur finlandais qui avait réussi à en obtenir un au nom de Microsoft, Google avertit ses utilisateurs qu'un certificat a été édité en son nom, mais sans la moindre autorisation. Les utilisateurs de Chrome sont protégés et ceux de Firefox le seront bientôt, mais ce nouveau problème ne fait que mettre encore en évidence les failles d’un système peu pérenne.

Les maillons parfois faibles de la chaine de confiance

Comme nous l’indiquions récemment, les certificats de sécurité permettent par exemple à des sites web de prouver qu’ils sont ce qu’ils prétendent être. Si vous vous rendez sur le site d’une banque, c’est le certificat qui permet au navigateur de reconnaitre un site authentique et d’initier une connexion sécurisée le cas échéant. Dans le navigateur, une telle connexion se symbolise le plus souvent par un cadenas affiché avant l’adresse. Mais que faire si un certificat authentique est utilisé avec des intentions malveillantes ou autres ?

C’est de ce problème dont Google avertit justement les utilisateurs. Une autorité intermédiaire de certification égyptienne, MCS Holdings, a généré un certificat au nom de la firme, à la demande du China Internet Network Information Center (CNNIC).  On ne sait pas pourquoi, mais MCS l’a ensuite installé dans un proxy capable de se comporter en « homme du milieu », interceptant les communications sécurisées de ses employés « pour examen ou raisons juridiques ».

Si la pratique n’est pas nouvelle, le fait de munir un proxy d’un certificat Google représente un grave danger. Le seul facteur de limitation du risque est que le proxy n’a vraisemblablement visé que les propres employés de MCS Holdings, comme le note sur Twitter Adam Langley, ingénieur sécurité chez Google. Il n’a donc pu normalement voir que les données circulant entre les employés et les clients.

Une épée de Damoclès

Le fait que le certificat n’ait été généré qu’avec une date de validité fixée au 3 avril ne change rien au problème central, et Google ne cache pas son mécontentement : si n’importe quelle autorité peut générer des certificats à l’envie et pour des raisons autres que celles souhaitées par l’éditeur légitime, c’est tout le système qui risque de se fracasser. L’intégralité de la chaine de confiance autour des certificats est déjà fragile à cause justement des piratages et décisions commerciales qui ne cadrent que rarement avec les nécessités de la sécurité. Comme nous l’indiquait récemment Stéphane Bortzmeyer, ingénieur système et réseaux à l’Afnic (Association française pour le nommage Internet en coopération), Il existe plus de 600 autorités de certification, et un faux pas est très vite arrivé, volontaire ou non.

Même si le certificat Google ne représente pas un danger immédiat, il incarne un risque énorme. Ce type de certificat est en effet forcément accepté par l’ensemble des navigateurs et des systèmes d’exploitation. En outre, il n’existe aucun moyen simple et/ou centralisé de révoquer un certificat : chaque produit concerné doit émettre une mise à jour, certains produits les acceptant de manière automatique, d’autres nécessitant une installation manuelle. Google indique par exemple avoir révoqué le certificat dans Chrome, mais Mozilla a réagi en précisant que la prochaine version 37 de Firefox s’en chargerait.

Le cas illustre une fois de plus les faiblesses d’un système qui présente des caractéristiques lourdes, puisque le moindre problème entraine une débauche d’activité chez tous les éditeurs pour mettre à jour les logiciels et matériels qui seraient concernés. Stéphane Bortzmeyer nous expliquait cependant que la situation serait délicate à changer, même si pas impossible : « Si les clients se fâchent parce qu’ils trouvent les routines de vérification trop exigeantes, ils se tourneront vers d’autres entreprises où on ne les embête pas autant », les autorités étant libres d’appliquer les règles qu’elles souhaitent. Seule solution dès lors, que tous les acteurs concernés se mettent d’accord sur de nouvelles règles de sécurité, même si un tel consensus sera délicat à obtenir.

30 commentaires
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/03/15 à 17:25:54

Principe de la chaine de confiance des certificats: demander à un mec qu'on ne connait pas si une adresse numérique anonyme est bien celle d'un autre mec dont on ne connait que le nom.

Impeccable. :yes:

Édité par 127.0.0.1 le 24/03/2015 à 17:26
Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 24/03/15 à 17:28:40

Mardi, journée des actus sur la sécurité. :love:
(ça tombe bien je m'ennuyais)

Avatar de js2082 INpactien
Avatar de js2082js2082- 24/03/15 à 17:43:10

127.0.0.1 a écrit :

Principe de la chaine de confiance des certificats: demander à un mec qu'on ne connait pas si une adresse numérique anonyme est bien celle d'un autre mec dont on ne connait que le nom.

Impeccable. :yes:

Me suis toujours demander comment ce genre de process a bien pu être accepté et validé en tant que tel.

J'imagine bien la réunion avec les acteurs de la sécurité internet:
"Hé salut, les gars!! J'ai une idée pour troller tout le  monde, vous croyez qu'ils mettront combien de temps avant de s'en apercevoir?"

Et ça fait 20 ans que ça dure la blague. :transpi:

Avatar de genialmaniac INpactien
Avatar de genialmaniacgenialmaniac- 24/03/15 à 17:45:06

Tous les proxys d'entreprises ou presque fonctionnent comme ça afin de valider, ou non, les données qui transitent, au moins à des fins d'analyse de ces dernières. Les certificats sont alors générés "à la volée" selon les sites visés, je ne vois pas où est le scandale, c'est une pratique très courante.
un dessin ?
client ======https://www.google.fr=======> proxy délivrant un certificat pour www.google.fr signé par sa propre autorité de confiance (celle de l'entreprise dans la plupart du temps) ======https://www.google.fr======> google avec son "vrai" certificat.

Comme ça votre patron lit vos mails tranquillement ;)

Avatar de zogG INpactien
Avatar de zogGzogG- 24/03/15 à 17:51:41

Vivement que Google deviennent une autorité de certification. On pourra enfin dormir sur nos 3* oreilles.

*merci les smartphones :windu:

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 24/03/15 à 18:07:02

Ceux qui se sont fait avoir sont des pigeons.
Déjà, "sécurité" et "Google" dans la même phrase c'est louche... :fumer:

« Si les clients se fâchent parce qu’ils trouvent les routines de vérification trop exigeantes, ils se tourneront vers d’autres entreprises où on ne les embête pas autant »

Les mêmes qui pleureront quand ils se feront couillonner...
Mais le client a toujours raison, et le peuple est bon par nature. C'est jamais sa faute, non non...

Avatar de Nuigurumi Abonné
Avatar de NuigurumiNuigurumi- 24/03/15 à 18:11:03

Tout à fait. Depuis que les sites utilisent de plus en plus https, pour pouvoir filtrer les accès (ou sorties) d'un réseau d'entreprise, les proxy ssl sont devenus courant dans les équipements de sécurité.
Par contre, c'est la deuxième fois que Google se fâche sur le sujet. La première fois étant des certificats provenant de l'administration française il me semble.

Avatar de millman42 Abonné
Avatar de millman42millman42- 24/03/15 à 18:12:40

Saut que dans le cas proxy le certificat d'autorité est un certificat prévu à cette effet pas un certificat utilisépar tous le monde délivrer par une autorité de certification.

Avatar de Steelskin Kupo INpactien
Avatar de Steelskin KupoSteelskin Kupo- 24/03/15 à 18:26:14

genialmaniac a écrit :

Tous les proxys d'entreprises ou presque fonctionnent comme ça afin de valider, ou non, les données qui transitent, au moins à des fins d'analyse de ces dernières. Les certificats sont alors générés "à la volée" selon les sites visés, je ne vois pas où est le scandale, c'est une pratique très courante.
un dessin ?
client ======https://www.google.fr=======> proxy délivrant un certificat pour www.google.fr signé par sa propre autorité de confiance (celle de l'entreprise dans la plupart du temps) ======https://www.google.fr======> google avec son "vrai" certificat.

Comme ça votre patron lit vos mails tranquillement ;)

La différence est que ce genre de certificat ne doit pas être certifié par une autorité, il doit être "self-signed". Le navigateur fera alors apparaître un message d'erreur, sauf si la signature du certificat a été ajoutée sur le système client.

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 24/03/15 à 18:43:19

ce qui est très souvent le cas.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3