Les certificats assurant la fiabilité de 23 000 sites ont récemment été révoqués par DigiCert. Selon Trustico, qui a vendu ces clés, il s'agit d'anticiper le futur refus de ces certificats par Google Chrome. Le revendeur a envoyé les clés privées de ces certificats à l'autorité, pour prouver leur authenticité. Le début d'un important débat.
Le transport des données sur le web devient de plus en plus sûr, avec la généralisation du chiffrement des connexions, via le protocole TLS. Son symbole : le cadenas vert et le « HTTPS » dans les navigateurs. Pour assurer cette sécurité, un site doit disposer d'un certificat, émis par une autorité de certification, que chaque navigateur choisit de reconnaître comme fiable. En cas de manquements répétés, par exemple des vérifications insuffisantes, une autorité perd la confiance des navigateurs, donc son business.
Trustico, revendeur de certificats pour sites web, est en pleine discorde avec DigiCert, une des principales autorités de certification du web. Habituellement, Trustico vend à ses clients des certificats émis par DigiCert et ses filiales. Ce mois-ci, la société a réclamé la révocation de 50 000 d'entre eux.
« Nous avons été en contact avec DigiCert à plusieurs reprises cette semaine, pour les informer que nous ne les autorisons plus à détenir nos certificats SSL actifs sur leur plateforme » affirme Trustico dans un communiqué du 28 février.
La société justifie cette demande par le refus à venir par Google Chrome des certificats de Symantec, dont DigiCert a racheté l'autorité de certification en août dernier. Symantec a multiplié les mauvaises pratiques pendant des années, amenant Google à refuser progressivement les anciens certificats dans Chrome. La reprise par DigiCert doit donc signer un assainissement de l'autorité.
C'est là que l'affaire se complique : selon DigiCert, ces problèmes sont un prétexte pour couvrir une bourde de Trustico lui-même.
23 000 clés privées envoyées par e-mail
Après une demande de la liste des certificats concernés par DigiCert, Trustico a envoyé 23 000 clés privées par e-mail à l'autorité. Les clés privées sont un élément central de la sécurité des connexions HTTPS. Les faire transiter par e-mail revient concrètement à compromettre les connexions aux sites concernés.
Cette action a causé un débat public sur un groupe de discussion de Mozilla, le 28 février. « Le 2 février, nous avons reçu une requête de Trustico demandant une révocation en masse de tous les certificats commandés par des clients via Trustico » écrit ainsi Jeremy Rowley, vice-président exécutif de DigiCert.
Selon lui, Trustico a voulu déclarer ces clés comme compromises, donc déclencher leur révocation. Le revendeur n'est pas passé par le bon canal, déclare DigiCert, qui a demandé que chaque client confirme la compromission de ses clés privées, ou que Trustico fournisse la preuve qu'elle détient ces clés privées.
« Le directeur général de Trustico nous indiquait que Trustico détenait les clés privées de ces certificats, et nous a envoyé par e-mail environ 20 000 d'entre elles. Quand il nous a envoyé ces clés, son action ne nous a pas laissé d'autre choix que d'agir en accord avec les exigences fixées par le CA/Browser Forum. Elles nous commandent de révoquer un certificat compromis sous 24 heures » a ensuite écrit l'entreprise dans son communiqué.
Le communiqué de DigiCert avait donc un autre but que signaler « l'erreur » de Trustico. La société a surtout voulu se défendre. « Dans sa communication, Trustico a suggéré que cette révocation est due à la future suppression de la confiance aux certificats Symantec par Google Chrome. C'est incorrect. Nous voulons clarifier que ces certificats ont dû être révoqués parce que Trustico nous a envoyé les clés privées » écrit DigiCert.
Les clés révoquées, une faille trouvée sur le site de Trustico
La bataille se joue là. Trustico cite un e-mail de DigiCert lui réclamant la liste des certificats à supprimer, avec les clés privées. DigiCert répond qu'il s'agit pour eux d'une mauvaise pratique. Dans tous les cas, Trustico a obtenu ce qu'il voulait : l'envoi des clés des clients a forcé l'autorité à rendre les certificats invalides. Peu importe le responsable, le résultat est là.
L'éditeur de solutions de sécurité Sophos s'est aussi étonné de cette action, via son blog Naked Security. « Ce que nous ne pouvons pas vraiment comprendre, c'est comment Trustico a obtenu autant de clés privées et pourquoi elles ont été envoyées par e-mail » explique la société. Trustico répond qu'il détient ces clés sur un « stockage froid » (donc déconnecté d'Internet) pour les révocations.
Aussi, Trustico a voulu maîtriser sa communication aux clients, en les informant lui-même des révocations par DigiCert. Or, ce dernier a directement contacté les titulaires des certificats concernés, en provoquant l'étonnement de certains d'entre eux. « Malheureusement, les choses ne se sont pas très bien passées et nous sommes extrêmement désolés de toute la confusion et le dérangement causés. Nous pensions agir en accord avec les contrats et informations fournis par DigiCert et Symantec » réagit Trustico, en fin de communiqué.
Le cœur de l'affaire a eu lieu mercredi 28 février. Jeudi 1er mars, le site de Trustico est passé un moment hors ligne, après qu'un chercheur en sécurité a révélé une faille « critique » dans une page de validation de l'installation des certificats. La vulnérabilité aurait permis d'exécuter des commandes en tant qu'administrateur (root) sur les serveurs du revendeur. Le site est de retour en ligne ce vendredi.
Dans tous les cas, « une telle chamaillerie publique, où les clés privées des clients sont devenues des jetons dans un marchandage commercial, n'aide personne. Maintenant, il sera encore plus compliqué pour les tenants du HTTP (ou les « dissidents » du HTTPS, si vous préférez) de basculer leurs sites en HTTPS » tance Sophos, clairement déçu de la tournure de l'affaire.
