Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google rejette en bloc les certificats de sécurité du chinois CNNIC

Toujours se méfier du chat qui dort
Internet 4 min
Google rejette en bloc les certificats de sécurité du chinois CNNIC
Crédits : tadamichi/iStock/ThinkStock

La semaine dernière, une autorité de certification avait produit au moins un certificat au nom de Google pour une utilisation que la firme de Mountain View était loin d’accepter. La conséquence est radicale : Google vient de bannir l’ensemble des certificats produits par CNNIC, au risque de provoquer toute une série de problèmes chez les utilisateurs. Mozilla se prépare de son côté à une action plus nuancée.

Un certificat généré au nom de Google, sans son autorisation

Rappel des faits. MCS Holdings, une autorité intermédiaire de certification opérant pour le compte de l’entreprise chinoise CNNIC (China Internet Network Information Center) a généré un certificat estampillé Google. Ce dernier a été utilisé dans un proxy agissant comme un « homme au milieu », capable de lire les transmissions de données sécurisées. Il s’agissait a priori pour CNNIC de mettre en place un équipement qui permettrait de vérifier ce qui entrait et sortait de son entreprise, donc de vérifier l’activité des employés et les échanges avec les clients. Un point sensible actuellement, comme l’ont montré en France les recommandations de la CNIL très récemment.

Le problème est que le certificat de sécurité a été généré au nom de Google sans aucune autorisation. La colère de l’entreprise ne s’est pas fait attendre : si toutes les autorités de certification se mettaient à créer de fausses preuves d’identité, comment être sûr finalement qu’un site est bien ce qu’il prétend être. En fait, comme nous l’indiquait justement Stéphane Bortzmeyer de l’Afnic la semaine dernière, les autorités sont des entreprises, donc gouvernées par des impératifs commerciaux. Si l’une d’entre elles refuse de délivrer un certificat, le client peut très bien s’adresser à un autre.

Google rejette les certificats racines de CNNIC

Google avait annoncé dans un premier temps que le fameux certificat avait été révoqué et qu’une mise à jour serait rapidement envoyée vers Chrome pour modifier la liste de ceux acceptés. Mais l’éditeur va finalement beaucoup plus loin : il rejette l’ensemble des certificats racines de CNNIC. Cette décision radicale a pour conséquence le rejet par cascade de tous les certificats qui auraient été générés par l’entreprise.

Une coupe d’autant plus franche que CNNIC est l’une des plus grosses autorités chinoises et que Chrome représente 52 % de parts de marché dans l’empire du milieu, loin devant les 23 % d’Internet Explorer. Les utilisateurs risquent donc de subir la décision de Google, même s’ils ont encore un peu de temps puisqu’il faudra attendre une mise à jour de Chrome pour que la mesure prenne effet.

Dans une mise à jour de son billet de blog original, Google explique que la décision a été discutée avec CNNIC. L’entreprise chinoise devrait se lancer dans certains travaux avant d’être considérée à nouveau comme une autorité de confiance par Google. Elle devrait surtout implémenter Certificate Transparency, une initiative de Mountain View visant à gommer certains défauts du processus-même de génération des certificats. Il s’agit globalement de surveiller et de pouvoir auditer en temps réel n’importe quel certificat pour en tester la validité et surtout la légitimité. Dans le cas qui nous intéresse, Certificate Transparency aurait par exemple permis de détecter immédiatement qu’il y avait une erreur puisque le certificat n’avait pas été dûment demandé par Google. Une fois que cette infrastructure aura été mise en place, il ne devrait pas y avoir de raison pour que CNNIC soit laissé de côté.

Des décisions plus nuancées chez Mozilla et Microsoft

La décision reste radicale, nettement plus que pour la concurrence. Firefox et Internet Explorer rejettent ainsi les certificats issus de MCS Holdings, mais pas ceux de CNNIC. Bien que l’un agisse pour le compte de l’autre, la répercussion est donc moindre. Mozilla prépare cependant de son côté des actions complémentaires. L’éditeur discute actuellement des mesures à prendre et, sans rejeter tout d’un bloc, devrait bloquer tous les certificats générés depuis une date donnée, qui reste à définir. La liste complète des certificats valides sera en outre réclamée pour que la communauté puisse la vérifier, et CNNIC devra « postuler » à nouveau après de Mozilla pour recevoir à nouveau sa pleine confiance. Cependant, si l’entreprise devait échouer, Mozilla en révoquerait cette fois les certificats racines, aboutissant alors à la même situation qu’avec Chrome.

Il devrait dans tous les cas y avoir une vraie gêne en Chine pour les utilisateurs puisque les certificats de CNNIC sont utilisés par des banques, des services de commerce et ainsi de suite. Du jour au lendemain, des internautes recevront des messages d’erreur les informant que l’identité de leurs sites ne peut plus être vérifiée. Comme toujours dans ce cas, il sera possible de passer outre l’avertissement, mais le contournement sera fortement déconseillé par le navigateur.

Google indique pour sa part qu’en dehors de la gêne occasionnée, il n’existe a priori pas de danger pour l’instant. Le certificat généré par MCS Holdings a en effet été utilisé en interne et n’est pas sorti du cadre de ce test.

28 commentaires
Avatar de KP2 Abonné
Avatar de KP2KP2- 02/04/15 à 08:59:52

Google balance la bombe nucléaire à la 1ere alerte sans aucun avertissement... Ca dissuadera surement les autres de faire les couillons.

Néanmoins, est ce que c'est vraiment souhaitable ? Personnellement, ca me gene que Google soit aussi puissant. Meme si dans ce cas précis, leur réaction est parfaitement légitime.

Y'a un vrai problème de confiance sur le net. Que ce soit au niveau DNS, des certifs racine, etc
Malheureusement, le scandale NSA et le PJLRenseignement montrent qu'on ne peut pas vraiment se fier aux gouvernements non plus. C'est chiant et y'a pas beaucoup de solutions...

Avatar de Thoscellen Abonné
Avatar de ThoscellenThoscellen- 02/04/15 à 09:04:51

Ohhhh, est-ce qu'on va progressivement sortir du système des autorités de certifications géré par des sociétés privées ? (en même temps, je doute que cela soit une bonne idée de confier la gestions des certificats aux l'états...)

Avatar de DarkMoS INpactien
Avatar de DarkMoSDarkMoS- 02/04/15 à 09:14:05

Les sites concernés vont conseiller à leur clients d'utiliser IE ou Firefox et le problème sera réglé oublié :transpi:

Avatar de Melcerin INpactien
Avatar de MelcerinMelcerin- 02/04/15 à 09:15:21

Thoscellen a écrit :

Ohhhh, est-ce qu'on va progressivement sortir du système des autorités de certifications géré par des sociétés privées ? (en même temps, je doute que cela soit une bonne idée de confier la gestions des certificats aux l'états...)

Ce qui serait déjà bien c'est qu'on ait davantage de sociétés non-américaines. Car actuellement, elles ont la main mise sur la quasi-totalité du marché, pour le plus grand bonheur de la NSA.

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 02/04/15 à 09:42:38

Sans aucun avertissement ... moui. Ils en ont discuté entre eux quand même. Et la réaction de Google est la plus logique. Si une on ne peut plus faire confiance en une autorité de confiance ... ce n'est plus une autorité de confiance.

Avatar de Darnel Abonné
Avatar de DarnelDarnel- 02/04/15 à 09:43:22

La question : comment ces questions seront-elles gérées par Spartan sous W10 ?

Avatar de micdubs INpactien
Avatar de micdubsmicdubs- 02/04/15 à 09:44:04

Ce n'est qu'un blocage temporaire. Dans le même temps, ça motive la CNNIC à se mettre à jour niveau sécurité. Je ne pense pas que ce soit une mauvaise chose !

Avatar de Vengeur_Masqué INpactien
Avatar de Vengeur_MasquéVengeur_Masqué- 02/04/15 à 09:53:11

Thoscellen a écrit :

Ohhhh, est-ce qu'on va progressivement sortir du système des autorités de certifications géré par des sociétés privées ? (en même temps, je doute que cela soit une bonne idée de confier la gestions des certificats aux l'états...)

http://letsencrypt.org

Avatar de Annihil INpactien
Avatar de AnnihilAnnihil- 02/04/15 à 10:00:04

Bonjour, ne trouvant pas le bouton "signaler une faute", je vous indique donc que "CNNIC devra « postuler » à nouveau après de Mozilla pour recevoir à nouveau sa pleine confiance.", il manque un 'u' :)

Édité par Annihil le 02/04/2015 à 10:01
Avatar de KP2 Abonné
Avatar de KP2KP2- 02/04/15 à 10:04:18

il suffit de cliquer sur le nom de l'auteur pour lui envoyer un message :)

Il n'est plus possible de commenter cette actualité.
Page 1 / 3