Google Chrome réduit sa confiance dans les certificats TLS de Symantec

Google Chrome réduit sa confiance dans les certificats TLS de Symantec

L'industrie du popcorn en plein boum

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

27/03/2017 5 minutes
36

Google Chrome réduit sa confiance dans les certificats TLS de Symantec

De Chrome 59, prévu en juin, à Chrome 64, Google veut réduire peu à peu la durée de validité des certificats actuels de Symantec. La raison : l'autorité aurait fourni de très nombreux certificats sans réellement les contrôler, donnant trop facilement sa confiance. Des mesures que conteste Symantec, qui affirme avoir agi rapidement sur le sujet.

Google lance une bataille à ciel ouvert avec Symantec. Dans un sujet sur Google Groups, daté du 23 mars, l'entreprise annonce des mesures de rétorsion contre l'autorité de certification, accusée d'avoir fournie des certificats TLS à tours de bras pendant des années, sans respecter les standards minimaux de Chrome. L'entreprise veut donc réduire sa confiance dans les certificats actuels, tout en contraignant l'autorité à de meilleurs standards à l'avenir.

Pour cela, l'entreprise exploite son Blink Process, lié au moteur de rendu Blink (le dérivé de Webkit conçu par Google), qu'elle dit ne pas avoir utilisé jusqu'ici pour les questions de certificats.

Pour rappel, le chiffrement d'un site web (en TLS) se fonde sur des certificats, qui sont délivrés et contrôlés par des autorités, elles-mêmes considérées de confiance par les navigateurs. Les certificats de Symantec, l'un des principaux acteurs du secteur, sont donc vus comme fiables par l'ensemble des navigateurs. Pourtant, affirme Google, l'entreprise aurait abusé de cette confiance.

Symantec accusé d'être trop peu regardant

Le géant de la recherche compte donc réduire graduellement la durée de validité des certificats de Symantec dans Chrome, et obliger l'autorité à les renouveler rapidement. Google n'accorde plus qu'une confiance relative à l'entreprise, qui doit revoir ses méthodes pour revenir dans ses bons papiers, alors que Chrome est l'un des navigateurs les plus utilisés actuellement.

Qu'est-il reproché exactement à Symantec ? L'équipe de Google Chrome enquête depuis le 19 janvier sur des manquements de l'autorité de certification, qui aurait une politique trop lâche sur la validation. L'instruction, concernant d'abord 127 certificats, a été étendue à plus de 30 000 d'entre eux, certains datant de plusieurs années. Dans le même temps, l'autorité est accusée de ne pas avoir répondu à temps aux enquêteurs de Google.

Fin 2015, Symantec avait reconnu avoir fourni près de 2 500 certificats pour des noms de domaine inexistants, après signalement de Google. 23 certificats de test avaient par ailleurs été fournis pour des adresses liées à Google et Opera, sans que les sociétés ne soient mises au courant.

Des certificats avec une validité maximale de neuf mois

Google annonce qu'il compte retirer peu à peu sa confiance aux certificats validés par Symantec, avec une durée de validité réduite toutes les six semaines avec chaque nouvelle version du navigateur. Avec Chrome 59, censé arriver en version stable en juin, la validité des certificats concernés passera à 33 mois. Chrome 60 enchainera à 27 mois, Chrome 61 à 21 mois, Chrome 62 à 15 mois, puis les versions de développement et bêta de Chrome 63 à 9 mois. La version stable de Chrome 63 conservera tout de même la validité à 15 mois, avant que la durée de 9 mois ne soit entérinée avec la version finale de Chrome 64, début 2018.

L'étape finale est donc de passer à neuf mois de validité, en évitant de le passer dès la version finale de Chrome 63, qui atterrira en plein hiver ; à un moment où les organisations gèlent les modifications sur leurs infrastructures. Chrome 64, début 2018, abattra donc le couperet pour tous les utilisateurs du navigateur. Google affirme aussi que le changement prévu entre Chrome 59 et 60 devrait avoir « un effet minimal », vu qu'une part des certificats concernés s'appuie de toute manière sur l'algorithme SHA-1, déjà obsolète.

Le groupe précise qu'à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur. « De quoi assurer que le risque de toute future erreur d'émission est, au mieux, contenu à neuf mois » estime-t-il.

Le propriétaire d'un certificat Symantec bientôt masqué

Symantec est aussi accusé à un autre niveau. Il « ne s'est pas assuré que les informations des organisations, affichées dans la barre d'adresses, atteignent bien le niveau de qualité de tels certificats et la validation nécessaire à un tel affichage » attaque encore Mountain View.

Pour mémoire, il s'agit d'une validation supplémentaire, proposée par les autorités de certification, qui vérifient manuellement si l'organisation qui émet le certificat est bien celle qu'elle prétend être. Il s'agit d'une procédure payante, logiquement contraignante, qui ne le serait pas assez chez Symantec au goût de Google. Le groupe propose donc de ne plus l'afficher pour cette autorité, jusqu'à ce qu'elle mette sa procédure en ordre.

Google reconnaît que ces mesures posent « des risques de compatibilité peu anodins », justifiant entre autres la limitation graduelle de la durée de validité. La société dit ne pas connaître les mesures que peuvent envisager Apple et Microsoft pour Safari et Edge. Mozilla ne semble pas encore avoir envisagé le sujet dans ses discussions publiques.

Symantec récuse les accusations de Google

Dans un billet de blog publié le 24 mars, Symantec répond vertement à l'annonce de Google. « Cette mesure est inattendue, et nous pensons que ce billet de blog est irresponsable. Nous espérons qu'il ne s'agit pas d'une tentative de déstabilisation de la confiance de la communauté Internet dans nos certificats » déclare la société, qui dit soutenir son autorité.

Elle indique que seuls 127 certificats ont bien été identifiés comme délivrés à tort, et non 30 000, « sans conséquence pour les internautes ». Elle affirme par ailleurs avoir pris des mesures immédiates les concernant, avec un contrôle renforcé de la fourniture de nouveaux certificats. De même, les manquements constatés concerneraient plusieurs autorités (non nommées), alors que Google ne cible publiquement que Symantec. Bien entendu, l'entreprise est « ouverte au dialogue » avec l'éditeur de Chrome.

36

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Symantec accusé d'être trop peu regardant

Des certificats avec une validité maximale de neuf mois

Le propriétaire d'un certificat Symantec bientôt masqué

Symantec récuse les accusations de Google

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (36)


Le problème de symantec c’est que c’est pas la première fois qu’il se font gauler pour ça.


Google a été mandaté par être le gendarme d’Internet ?


Pourquoi carrément invalider les certificats plutôt qu’ajouter un icône/message/autre pour indiquer à l’utilisateur un niveau de “confiance by Google” ?



Parce que là ca fait couche supplémentaire aux magasins de certificat système, c’est un peu con…


Ils font ce qu’ils veulent dans leur navigateur. Personne n’oblige à utiliser Google Chrome ;)



Et franchement, à part eux, il n’y a personne qui ose recadrer les CA quand elles font de la merde.


ça ne concerne pas Internet mais seulement Chrome. Si la politique de Google ne te convient pas tu peux utiliser d’autres navigateurs.








loser a écrit :



ça ne concerne pas Internet mais seulement Chrome. Si la politique de Google ne te convient pas tu peux utiliser d’autres navigateurs.





C’est beau la naïveté: chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d’entre eux ne savent même pas qu’il existe d’autres navigateurs.



Et alors ? Rien n’empêche les gens de se renseigner…


Et par mesure de sécurité inverse, Symantec va signaler comme non-souhaitée et bloquer toutes les installations sournoises de chrome au travers d’installateur d’autres produits.



On verra qui rigole le premier.


 C’est vrai que chrome est à 60% de PDM tous supports confondus. On peut donc voir ça comme un abus de position dominante.


carbier a écrit :

C’est beau la naïveté: chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d’entre eux ne savent même pas qu’il existe d’autres navigateurs.



Ou alors au premier démarrage du pc, il faudrait proposer à l’utilisateur de choisir parmi une liste de navigateur celui qu’il souhaite… <img data-src=" /> : redface:








wpayen a écrit :



Et par mesure de sécurité inverse, Symantec va signaler comme non-souhaitée et bloquer toutes les installations sournoises de chrome au travers d’installateur d’autres produits.



On verra qui rigole le premier.







c’est pas contre leur produit mais contre les certificats moisis qu’ils produisent, parce que produire des certificats pourrit c’est très grave



Le groupe précise qu’à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur



Que pour Symantec ou pour tous ? Parce que bon les CA délivrent des certificats sur 1 an dans la très grande majorité des cas.


Je comprends bien mais Symantec est un groupe qui pourrait très bien avoir ce genre de réponse.



Et je ne défends pas la politique peu regardante de Symantec sur les certificats, juste que Google n’est pas un gendarme et n’a aucun droit de sanction. Qui plus est au travers d’un outil dont les partes de marchés augmentent artificiellement par des pratiques douteuses.


Il faut bien que quelqu’un le dise quand ça arrive même si la façon de procéder est un peu cavalière. Google s’immisce de plus en plus à toutes les étapes de la chaîne.








tifounon a écrit :



Le groupe précise qu’à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur



Que pour Symantec ou pour tous ? Parce que bon les CA délivrent des certificats sur 1 an dans la très grande majorité des cas.



Seulement les Symantec, ce sont eux qui posent le problème de confiance <img data-src=" />







wpayen a écrit :



Je comprends bien mais Symantec est un groupe qui pourrait très bien avoir ce genre de réponse.



Et je ne défends pas la politique peu regardante de Symantec sur les certificats, juste que Google n’est pas un gendarme et n’a aucun droit de sanction. Qui plus est au travers d’un outil dont les partes de marchés augmentent artificiellement par des pratiques douteuses.



Ce n’est pas une sanction, mais un revers. Ils veulent juste empêcher de voir la sécurité de leur navigateur réduite à cause des conneries d’une boîte tierce qui fait n’imp.



C’est en changeant d’antivirus que je me suis rendu compte que l’autorité de certification changeait. Je ne savais pas qu’un même site web sécurisé pouvait avoir plusieurs autorités de certification et surtout que l’autorité de certification utilisée par le navigateur de l’utilisateur pouvait changé selon l’antivirus qu’il avait préalablement installé.


Tiens donc.

Et toujours pas de navigateur sur le marché qui laisse le choix des CA à l’utilisateur ? (De manière durable).


C’est pas plutôt ton nouvel antivirus qui intercepte le trafic HTTPS ?



Apparemment ça se fait de plus en plus…








wpayen a écrit :



Je comprends bien mais Symantec est un groupe qui pourrait très bien avoir ce genre de réponse.



Et je ne défends pas la politique peu regardante de Symantec sur les certificats, juste que Google n’est pas un gendarme et n’a aucun droit de sanction. Qui plus est au travers d’un outil dont les partes de marchés augmentent artificiellement par des pratiques douteuses.





Ouais mais bon symantec fait des certificats pourrit, personne ne lui dit rien ou presque, à un moment il faut bien les réveiller.



C’est sûrement ça (je ne m’y connais pas assez), le nom de l’émetteur du certificat du site web sécurisé SSL avait changé et l’antivirus a une fonction de filtrage du protocole SSL/TLS.


Je ferais remarquer à tout hasard que mozilla a commencé à refuser les certificats de wosign et chépuki avant cette histoire de chrome et symantec, donc Google ne sont pas les seuls à faire ça.



Et c’est clairement problématique ces certificats pourris, un seul suffit à compromettre toute la chaîne de confiance. Et évidemment, d’ici que DANE arrive&nbsp;<img data-src=" />


il suffit de savoir fouiller un peu, mais à la fois sur windows, gnu/linux et android tu as moyen de révoquer des certifs système et rajouter les tiens.



Je reconnais que ce n’est pas forcément à la portée de Dark Michu, utilisateur final.<img data-src=" />


tousse Kaspersky tousse



heureusement que c’est désactivable mais quand même.


Ok, admettons, mais si le navigateur arrive avec sa couche de certificats sur laquelle tu n’as pas de contrôle, ça ne change pas le fond du problème de révoquer ceux du système.

Ou alors j’ai rien compris et que les navigateurs se basent sur les certificats système ?

Parce que quand j’avais lu la doc Mozilla et qu’il te dit gentiment: recompilez sans le module XXX qui intègre les signatures des CA, humhum



&nbsp;







spidy a écrit :



tousse Kaspersky tousse



heureusement que c’est désactivable mais quand même.





+1 …

&nbsp;



Il n’y a pas que Kaspersky malheureusement… de plus en plus d’antivirus PC ou Mac se mettent à faire du MITM, et dégradent la robustesse du chiffrement plus qu’ils ne protègent…



http://www.lemondeinformatique.fr/actualites/lire-les-connexions-tls-compromises…


C’était wosign et startssl :https://www.nextinpact.com/news/101540-mozilla-veut-bannir-deux-autorites-ayant-…



Oui pour ce cas, c’est Mozilla qui a “balancé” l’autorité, puis Google et Apple ont suivi.

Ici, je pense que ça sera pareil : Mozilla et Apple risquent de suivre la décision de Google.








carbier a écrit :



chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d’entre eux ne savent même pas qu’il existe d’autres navigateurs.





Ah bon ? Quel OS installe Chrome par défaut ? (À part Chrome OS)



Les navigateurs ont leurs propres stores de CA. Il n’y a qu’IE et Edge qui utilisent les certificats définis dans Windows.

Les modifications apportées par Google n’impactent que Chrome, rien d’autre.


En coupant la fonction, est-ce que le certificat du site web en question change, ou on ne s’en rend pas compte ?








Akaryatrh a écrit :



Ah bon ? Quel OS installe Chrome par défaut ? (À part Chrome OS)





pas des OS, des softs le plus souvent (Ccleaner me vient à l’esprit mais il doit y en avoir des plus grand public qui le font aussi)



Effectivement, il s’installe parce que les utilisateurs font ‘suivant, suivant, j’accepte, suivant, terminer’ sans lire (ce qui met le navigateur sur le poste, soit en install véritable, soit dans %appdata% - je ne sais pas si ça se fait encore, ce dernier point, ça n’en reste pas moins une hérésie…) ET il se met par défaut parce qu’au premier lancement (automatique post installation, parfois), il demande s’il peut être navigateur par défaut et l’utilisateur répond oui (à moitié par réflexe, à moitié pour se débarrasser de la popup)



TL;DR : La cause réelle d’une partie des Chrome comme browser par défaut est un bon gros PEBKAC mais les installateurs qui le proposent sont aussi à blâmer (pour ne pas plus mettre en avant cette co-installation)



Oui il faudrait une meilleur validation de l’antivirus pour le filtrage https. D’un autre coté, si tu veux une sécurité accrue, il devient presque indispensable de pouvoir faire de l’inspection même dans les connexions HTTPS vu qu’il est relativement simple d’avoir un certificat valide de nos jours.








WereWindle a écrit :



TL;DR : La cause réelle d’une partie des Chrome comme browser par défaut est un bon gros PEBKAC mais les installateurs qui le proposent sont aussi à blâmer (pour ne pas plus mettre en avant cette co-installation)







Bof, parfois tu vois le logo ENORME de Chrome ou de la connerie à installer et les gens cliquent tout de même sans lire <img data-src=" />



J’ai un client qui m’appelle pour me dire qu’il a un message d’erreur qui s’affiche quand il fait telle action. Je lui demande le message, il me dit qu’il ne sait plus mais qu’il peut me montrer : il faut la démo, le message d’erreur s’affiche et il me dit “voilà !” et clique sur “ok” du message d’erreur avant d’avoir pu faire quoique se soit…

Evidemment le message d’erreur était en plus explicite, donc il aurait pu se passer de moi mais bon.



j’ai eu exactement le même problème au taff <img data-src=" />

(la partie moins rigolote c’est que j’étais appelé par deux de mes collègues… eux aussi du support technique informatique <img data-src=" /> <img data-src=" />


Je fais le support pour des administrateurs réseaux, pas pour les utilisateurs <img data-src=" />



Ce genre de délire arrive souvent, et parfois le manque de bases me sidère… enfin me sidérait vu que depuis les années j’ai bien compris <img data-src=" />


“ne pas prendre les gens pour des cons, ne pas oublier qu’ils le sont un peu quand même” <img data-src=" />