Auteur Sujet: Google publie le nom des autorités de certification indignes de confiance  (Lu 1867 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Google a publié un nouveau log au sein de son projet Certificate Transparency. Celui-ci répertorie les autorités de certifications rejetées par l’éditeur de Chrome ainsi que les autorités de certification en voie d’approbation par les navigateurs.

En fin d’année 2015, Google et Symantec s’étaient écharpés autour de la gestion des certificats de sécurité. Google accusait en effet Symantec d’avoir émis un certificat frauduleux au nom de Google.com à travers son autorité de certification Thawte. Symantec se défendait en rappelant que celui-ci n’était utilisé que pour un usage interne, mais l’argumentation n’avait pas suffi à convaincre Google. La firme de Mountain View avait menacé de ne plus faire confiance aux certificats émis par Symantec si la société ne se mettait pas en conformité avec ses standards de sécurité.

C’est cette querelle de clocher qui a donné à Google l’impulsion pour proposer son nouveau log des CA baptisé Submariner. Celui-ci vient s’ajouter à la liste des précédents logs qui listaient déjà les différentes autorités auxquels Chrome fait confiance pour son navigateur Chrome. Mais contrairement à ces logs, Submariner liste les autorités encore non approuvées par Google ou les autorités reniées à l’instar de Symantec.

Dénoncez les tous !

Comme l’explique Google dans le post de blog annonçant ce nouveau log, ces autorités ne sont pas jugées dignes de confiance par les navigateurs, mais leurs activités méritent d’être connues par les différents acteurs. « Inclure ces différentes autorités au sein de nos logs pose un certain nombre de problèmes, notamment le manque de certitude à l’égard de leurs politiques de révocation des certificats ou des attaques de type « cross signing » de la part d’acteurs tiers malicieux. Mais avoir une certaine visibilité sur ces autorités reste utile, c’est pourquoi nous avons mis en place ce nouveau log au sein de Certificate Transparency » explique Martin Smith, ingénieur logiciel au sein du projet Certificate Transparency.

Il confirme dans ce même post de blog que la liste Submariner a été mise à jour afin d’y ajouter les certificats à la source du conflit entre Google et Symantec, et que Mozilla a ensuite proposé par la suite d’y ajouter les autorités en voie d’approbation par son navigateur. Google invite d’ailleurs le reste des éditeurs à proposer des autorités de certification pouvant correspondre aux critères de ce log.


Par La rédaction de ZDNet.fr | Mercredi 23 Mars 2016  ;)

corrector

  • Invité
J'adore lire les commentaires des internautes sur le Web pour voir ce que les gens pensent. Ce n'est pas précis mais c'est informatif (j'avais vu la monté de Mélenchon avant que les sondages la confirme).

Des internautes expriment régulièrement l'idée que pour une erreur, une certificat émis qui n'aurait pas dû l'être, "seulement" un pré-certificat signé à tort ... il ne faut pas avoir la "main lourde" (dans l'affaire du faux certificat Google signé par une sous-autorité de l'ANSSI, de nombreux commentateurs avaient trouvé la réaction de Google inutile/hostile/disproportionnée/méchante).

Mais si, il faut.

L'activité de tiers de confiance n'est pas une activité où on peut viser simplement le respect du protocole "la plupart du temps", ou à 99%. Un tiers de confiance ne peut pas avoir de tolérance à l'erreur. Le principe même des certificats est que c'est valide ou non. Le logiciel a confiance ou non. Il n'y a pas d'échelle. Pas de "logique floue". Donc pas de droit à l'erreur.

Les protocoles doivent être respectés que ce soit au niveau des logiciels comme au niveau des humains qui font les vérifications manuelles.

Tout certificat attribué à tort peut conduire :
- au piratage d'identifiants confidentiels
- à l'installation de logiciels hostiles

Un seul faux certificat peut être utilisé contre des millions d'utilisateurs. Et de façon répété. Ce n'est pas analogue à un faux billet ou une mallette de faux billets, qui une fois utilisée est vide. C'est l'analogue d'une machine produisant à l'infini des faux billets, sans recharge en papier ni en encre.

La cryptologie est vraiment solide. Les algorithmes de chiffrement sont robustes. Les failles dans les implèmentations existent malheureusement mais relativement rare (comparer aux autres failles dans des logiciels utilisés habituellement comme les navigateurs, les gestionnaires réseau, d'impression, etc.).

La faiblesse structurelle d'un système cryptographique comme TLS est le système d'autorités de certification, donc on ne peut avoir aucune tolérance à l'incompétence, l'étourderie, l'approximation, le laxisme, le je-m'en-foutisme, les excuses...

La tolérance, il y a des maisons pour ça!