Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google Chrome réduit sa confiance dans les certificats TLS de Symantec

L'industrie du popcorn en plein boum
Internet 5 min
Google Chrome réduit sa confiance dans les certificats TLS de Symantec
Crédits : PeopleImages/iStock

De Chrome 59, prévu en juin, à Chrome 64, Google veut réduire peu à peu la durée de validité des certificats actuels de Symantec. La raison : l'autorité aurait fourni de très nombreux certificats sans réellement les contrôler, donnant trop facilement sa confiance. Des mesures que conteste Symantec, qui affirme avoir agi rapidement sur le sujet.

Google lance une bataille à ciel ouvert avec Symantec. Dans un sujet sur Google Groups, daté du 23 mars, l'entreprise annonce des mesures de rétorsion contre l'autorité de certification, accusée d'avoir fournie des certificats TLS à tours de bras pendant des années, sans respecter les standards minimaux de Chrome. L'entreprise veut donc réduire sa confiance dans les certificats actuels, tout en contraignant l'autorité à de meilleurs standards à l'avenir.

Pour cela, l'entreprise exploite son Blink Process, lié au moteur de rendu Blink (le dérivé de Webkit conçu par Google), qu'elle dit ne pas avoir utilisé jusqu'ici pour les questions de certificats.

Pour rappel, le chiffrement d'un site web (en TLS) se fonde sur des certificats, qui sont délivrés et contrôlés par des autorités, elles-mêmes considérées de confiance par les navigateurs. Les certificats de Symantec, l'un des principaux acteurs du secteur, sont donc vus comme fiables par l'ensemble des navigateurs. Pourtant, affirme Google, l'entreprise aurait abusé de cette confiance.

Symantec accusé d'être trop peu regardant

Le géant de la recherche compte donc réduire graduellement la durée de validité des certificats de Symantec dans Chrome, et obliger l'autorité à les renouveler rapidement. Google n'accorde plus qu'une confiance relative à l'entreprise, qui doit revoir ses méthodes pour revenir dans ses bons papiers, alors que Chrome est l'un des navigateurs les plus utilisés actuellement.

Qu'est-il reproché exactement à Symantec ? L'équipe de Google Chrome enquête depuis le 19 janvier sur des manquements de l'autorité de certification, qui aurait une politique trop lâche sur la validation. L'instruction, concernant d'abord 127 certificats, a été étendue à plus de 30 000 d'entre eux, certains datant de plusieurs années. Dans le même temps, l'autorité est accusée de ne pas avoir répondu à temps aux enquêteurs de Google.

Fin 2015, Symantec avait reconnu avoir fourni près de 2 500 certificats pour des noms de domaine inexistants, après signalement de Google. 23 certificats de test avaient par ailleurs été fournis pour des adresses liées à Google et Opera, sans que les sociétés ne soient mises au courant.

Des certificats avec une validité maximale de neuf mois

Google annonce qu'il compte retirer peu à peu sa confiance aux certificats validés par Symantec, avec une durée de validité réduite toutes les six semaines avec chaque nouvelle version du navigateur. Avec Chrome 59, censé arriver en version stable en juin, la validité des certificats concernés passera à 33 mois. Chrome 60 enchainera à 27 mois, Chrome 61 à 21 mois, Chrome 62 à 15 mois, puis les versions de développement et bêta de Chrome 63 à 9 mois. La version stable de Chrome 63 conservera tout de même la validité à 15 mois, avant que la durée de 9 mois ne soit entérinée avec la version finale de Chrome 64, début 2018.

L'étape finale est donc de passer à neuf mois de validité, en évitant de le passer dès la version finale de Chrome 63, qui atterrira en plein hiver ; à un moment où les organisations gèlent les modifications sur leurs infrastructures. Chrome 64, début 2018, abattra donc le couperet pour tous les utilisateurs du navigateur. Google affirme aussi que le changement prévu entre Chrome 59 et 60 devrait avoir « un effet minimal », vu qu'une part des certificats concernés s'appuie de toute manière sur l'algorithme SHA-1, déjà obsolète.

Le groupe précise qu'à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur. « De quoi assurer que le risque de toute future erreur d'émission est, au mieux, contenu à neuf mois » estime-t-il.

Le propriétaire d'un certificat Symantec bientôt masqué

Symantec est aussi accusé à un autre niveau. Il « ne s'est pas assuré que les informations des organisations, affichées dans la barre d'adresses, atteignent bien le niveau de qualité de tels certificats et la validation nécessaire à un tel affichage » attaque encore Mountain View.

Pour mémoire, il s'agit d'une validation supplémentaire, proposée par les autorités de certification, qui vérifient manuellement si l'organisation qui émet le certificat est bien celle qu'elle prétend être. Il s'agit d'une procédure payante, logiquement contraignante, qui ne le serait pas assez chez Symantec au goût de Google. Le groupe propose donc de ne plus l'afficher pour cette autorité, jusqu'à ce qu'elle mette sa procédure en ordre.

Google reconnaît que ces mesures posent « des risques de compatibilité peu anodins », justifiant entre autres la limitation graduelle de la durée de validité. La société dit ne pas connaître les mesures que peuvent envisager Apple et Microsoft pour Safari et Edge. Mozilla ne semble pas encore avoir envisagé le sujet dans ses discussions publiques.

Symantec récuse les accusations de Google

Dans un billet de blog publié le 24 mars, Symantec répond vertement à l'annonce de Google. « Cette mesure est inattendue, et nous pensons que ce billet de blog est irresponsable. Nous espérons qu'il ne s'agit pas d'une tentative de déstabilisation de la confiance de la communauté Internet dans nos certificats » déclare la société, qui dit soutenir son autorité.

Elle indique que seuls 127 certificats ont bien été identifiés comme délivrés à tort, et non 30 000, « sans conséquence pour les internautes ». Elle affirme par ailleurs avoir pris des mesures immédiates les concernant, avec un contrôle renforcé de la fourniture de nouveaux certificats. De même, les manquements constatés concerneraient plusieurs autorités (non nommées), alors que Google ne cible publiquement que Symantec. Bien entendu, l'entreprise est « ouverte au dialogue » avec l'éditeur de Chrome.

36 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 27/03/17 à 10:18:19

Le problème de symantec c'est que c'est pas la première fois qu'il se font gauler pour ça.

Avatar de carbier INpactien
Avatar de carbiercarbier- 27/03/17 à 10:18:36

Google a été mandaté par être le gendarme d'Internet ?

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 27/03/17 à 10:18:59

Pourquoi carrément invalider les certificats plutôt qu'ajouter un icône/message/autre pour indiquer à l'utilisateur un niveau de "confiance by Google" ?

Parce que là ca fait couche supplémentaire aux magasins de certificat système, c'est un peu con...

Avatar de Freeben666 Abonné
Avatar de Freeben666Freeben666- 27/03/17 à 10:22:11

Ils font ce qu'ils veulent dans leur navigateur. Personne n'oblige à utiliser Google Chrome ;)

Et franchement, à part eux, il n'y a personne qui ose recadrer les CA quand elles font de la merde.

Avatar de loser Abonné
Avatar de loserloser- 27/03/17 à 10:22:34

ça ne concerne pas Internet mais seulement Chrome. Si la politique de Google ne te convient pas tu peux utiliser d'autres navigateurs.

Avatar de carbier INpactien
Avatar de carbiercarbier- 27/03/17 à 10:28:40

loser a écrit :

ça ne concerne pas Internet mais seulement Chrome. Si la politique de Google ne te convient pas tu peux utiliser d'autres navigateurs.

C'est beau la naïveté: chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d'entre eux ne savent même pas qu'il existe d'autres navigateurs.

Avatar de Hugues1337 Abonné
Avatar de Hugues1337Hugues1337- 27/03/17 à 10:40:44

Et alors ? Rien n'empêche les gens de se renseigner...

Avatar de wpayen Abonné
Avatar de wpayenwpayen- 27/03/17 à 10:42:36

Et par mesure de sécurité inverse, Symantec va signaler comme non-souhaitée et bloquer toutes les installations sournoises de chrome au travers d'installateur d'autres produits.

On verra qui rigole le premier.

Avatar de loser Abonné
Avatar de loserloser- 27/03/17 à 10:44:24

 C'est vrai que chrome est à 60% de PDM tous supports confondus. On peut donc voir ça comme un abus de position dominante.

Avatar de Origami Abonné
Avatar de OrigamiOrigami- 27/03/17 à 10:45:53

carbier a écrit :
C'est beau la naïveté: chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d'entre eux ne savent même pas qu'il existe d'autres navigateurs.

Ou alors au premier démarrage du pc, il faudrait proposer à l'utilisateur de choisir parmi une liste de navigateur celui qu'il souhaite... :D : redface:

Il n'est plus possible de commenter cette actualité.
Page 1 / 4