Sale temps pour les certificats. Après le scandale SuperFish chez Lenovo et, plus récemment, le cas d’un utilisateur finlandais qui avait réussi à en obtenir un au nom de Microsoft, Google avertit ses utilisateurs qu'un certificat a été édité en son nom, mais sans la moindre autorisation. Les utilisateurs de Chrome sont protégés et ceux de Firefox le seront bientôt, mais ce nouveau problème ne fait que mettre encore en évidence les failles d’un système peu pérenne.
Les maillons parfois faibles de la chaine de confiance
Comme nous l’indiquions récemment, les certificats de sécurité permettent par exemple à des sites web de prouver qu’ils sont ce qu’ils prétendent être. Si vous vous rendez sur le site d’une banque, c’est le certificat qui permet au navigateur de reconnaitre un site authentique et d’initier une connexion sécurisée le cas échéant. Dans le navigateur, une telle connexion se symbolise le plus souvent par un cadenas affiché avant l’adresse. Mais que faire si un certificat authentique est utilisé avec des intentions malveillantes ou autres ?
C’est de ce problème dont Google avertit justement les utilisateurs. Une autorité intermédiaire de certification égyptienne, MCS Holdings, a généré un certificat au nom de la firme, à la demande du China Internet Network Information Center (CNNIC). On ne sait pas pourquoi, mais MCS l’a ensuite installé dans un proxy capable de se comporter en « homme du milieu », interceptant les communications sécurisées de ses employés « pour examen ou raisons juridiques ».
Si la pratique n’est pas nouvelle, le fait de munir un proxy d’un certificat Google représente un grave danger. Le seul facteur de limitation du risque est que le proxy n’a vraisemblablement visé que les propres employés de MCS Holdings, comme le note sur Twitter Adam Langley, ingénieur sécurité chez Google. Il n’a donc pu normalement voir que les données circulant entre les employés et les clients.
@hanno @taviso We understand that the MITM proxy was owned and operated by MCS Holdings and it only saw traffic from their clients.
— Adam Langley (@agl__) 23 Mars 2015
Une épée de Damoclès
Le fait que le certificat n’ait été généré qu’avec une date de validité fixée au 3 avril ne change rien au problème central, et Google ne cache pas son mécontentement : si n’importe quelle autorité peut générer des certificats à l’envie et pour des raisons autres que celles souhaitées par l’éditeur légitime, c’est tout le système qui risque de se fracasser. L’intégralité de la chaine de confiance autour des certificats est déjà fragile à cause justement des piratages et décisions commerciales qui ne cadrent que rarement avec les nécessités de la sécurité. Comme nous l’indiquait récemment Stéphane Bortzmeyer, ingénieur système et réseaux à l’Afnic (Association française pour le nommage Internet en coopération), Il existe plus de 600 autorités de certification, et un faux pas est très vite arrivé, volontaire ou non.
Même si le certificat Google ne représente pas un danger immédiat, il incarne un risque énorme. Ce type de certificat est en effet forcément accepté par l’ensemble des navigateurs et des systèmes d’exploitation. En outre, il n’existe aucun moyen simple et/ou centralisé de révoquer un certificat : chaque produit concerné doit émettre une mise à jour, certains produits les acceptant de manière automatique, d’autres nécessitant une installation manuelle. Google indique par exemple avoir révoqué le certificat dans Chrome, mais Mozilla a réagi en précisant que la prochaine version 37 de Firefox s’en chargerait.
Le cas illustre une fois de plus les faiblesses d’un système qui présente des caractéristiques lourdes, puisque le moindre problème entraine une débauche d’activité chez tous les éditeurs pour mettre à jour les logiciels et matériels qui seraient concernés. Stéphane Bortzmeyer nous expliquait cependant que la situation serait délicate à changer, même si pas impossible : « Si les clients se fâchent parce qu’ils trouvent les routines de vérification trop exigeantes, ils se tourneront vers d’autres entreprises où on ne les embête pas autant », les autorités étant libres d’appliquer les règles qu’elles souhaitent. Seule solution dès lors, que tous les acteurs concernés se mettent d’accord sur de nouvelles règles de sécurité, même si un tel consensus sera délicat à obtenir.