Actualité
cyber securite informatique parefeu firewall protection bouclier © vladislav kochelaevs - fotolia

Mozilla réclame un audit des autorités de certification

Avec les atteintes à la sécurité IT en lien avec les failles recensées au niveau des autorités de certification (Comodo, DigiNotar), la Fondation Mozilla veut reprendre les choses en main.

Le 12 septembre 2011 par Jacques Franc de Ferrière 1 Commentaire

Sur fond de polémiques liées aux faux certificats de sécurité émis par DigiNotar et Comodo, la Fondation Mozilla veut reprendre le contrôle.

Elle demande un audit des sociétés concernées tant le sujet est sensible.


Ces sociétés, dites « tiers de confiance », émettent des certificats commercialisés auprès des éditeurs pour garantir la sécurité du trafic généré via leurs sites Internet.

Devant la gravité de la situation, la Fondation Mozilla, qui développe le navigateur Firefox, exige des garanties.

Elle souhaite que les acteurs concernés adoptent un plan en 5 actions, sous peine d’exclusion à son programme root (certificat racine).

  1. Un audit de leurs infrastructures à clés publiques (PKI), à la recherche d’intrusions ou de vols de données
  2. Fournir à Mozilla une liste complète des certificats racine tiers utilisé par Mozilla qu’ils ont co-signé, incluant ceux d’autres autorités de certifications (Certification Authority ou CA en anglais) et revendeurs
  3. Mettre en place une procédure d’identification multiple pour les comptes pouvant créer un certificat
  4. Créer des blocages automatiques pour les domaines importants, dont ceux qui ont été attaqués dans les affaires Comodo et DigiNotar
  5. Vérifier que les autres CA, revendeurs et partenaires qui peuvent ajouter des certificats à leur certificat racine ont des procédures de sécurité en place, et sont audités.

Selon la Fondation Mozilla, c’est une question de crédibilité des moyens de sécurité du Web (SSL, HTTPS et autres technologies de chiffrements utilisant des clés publiques).

Pour Kathleen Wilson, Responsable des « certificats racines » pour le compte de la Fondation Mozilla, ce n’est pas une menace adressée aux spécialistes de l’authentification des sites Web  : « Nous croyons que la meilleure approche pour protéger la sécurité est de travailler avec les CA comme des partenaires, pour entretenir une communication franche et ouverte, et d’être assidu dans la recherche de moyens de s’améliorer. »

Elle fixe également une échéance : les autorités concernées doivent rendre leurs copies au 16 septembre.

Si besoin est, la Fondation Mozilla prendra « les mesures nécessaires afin d’assurer la sécurité de ses utilisateurs ».

On ne plaisante pas : ce type de faille dans les certificats SSL délivrés facilite les attaques « man in the middle » : en se plaçant entre l’internaute devant son poste et le serveur d’un éditeur de sites Web, un pirate peut intercepter les échanges.

PUBLICITE

Vous payez trop cher les appels de vos fixes vers les mobiles ?

Contactez-nous dès maintenant pour une étude personnalisée et chiffrée de vos besoins.

C’est simple et sans engagement ! Nos conseillers Entreprises sont à votre disposition pour établir un diagnostic complet de vos télécoms et vous orienter vers la meilleure solution.

Cliquez-ici

Autres articles sur ce sujet

Categories : Actualité, Applications, Grands comptes, Piratage, Protections, Réseau, Sécurité, Sécurité réseau, Sites Internet, Stockage et services, Technologie, Télécommunications, Télécoms et réseaux.

Tags : , , , , , , , , .

Information sociétés

Mozilla

Voir la fiche

Derniers commentaires




One Response to Mozilla réclame un audit des autorités de certification

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>