Pour gérer vos consentements :

Google – Symantec : le torchon brûle sur les certificats HTTPS

C’est au pied du mur qu’on voit Symantec.

L’éditeur américain spécialisé dans la sécurité informatique est mis devant ses responsabilités par Google, qui lui laisse jusqu’au 1er juin 2016 pour rendre des comptes détaillés sur les processus de son autorité de certification, baptisée Thawte.

Faute de quoi les certificats émis par cette dernière feront systématiquement l’objet d’une alerte dans Chrome, premier navigateur mondial aussi bien au baromètre de Net Applications qu’au dernier pointage de StatCounter.

Pour saisir les subtilités de ce dossier, il faut remonter à ses origines, le mois dernier.

Le 18 septembre, Symantec annonçait avoir découvert que certains de ses employés – remerciés depuis lors – émettaient des certificats de chiffrement TLS non autorisés permettant d’usurper l’identité de sites HTTPS.

L’éditeur se voulait rassurant : la manipulation ne concernerait qu’un « petit nombre de certificats de test » émis pour trois domaines « lors de tests de produits ». Au nombre de 23, les certificats en question seraient par ailleurs « restés sous contrôle ».

Constatant que certains de ces certificats concernaient ses domaines google.com et www.google.com, le moteur de recherche avait fini par interpeller Symantec, lequel avait rouvert son enquête jusqu’à reconnaître, le 12 octobre, la réelle ampleur du problème.

Le nouveau bilan fait état de 164 certificats non autorisés supplémentaires émis pour 76 domaines… ainsi que 2 458 certificats associés à des domaines non enregistrés (une pratique interdite depuis avril 2014).

Un cafouillage qui pousse Google à mettre la pression en déclarant : « Constater qu’une autorité de certification peut avoir un problème de cette nature et qu’elle est incapable d’en mesurer la portée après en avoir été alertée et avoir réalisé un audit s’avère très inquiétant. »

Que demande le groupe Internet ? Que Symantec se conforme au protocole Certificate Transparency, qui soumet les autorités de certification à un système auditable et public d’enregistrement des émissions de certificats.

Déjà imposé depuis janvier 2015 par Google pour les certificats à validation étendue (ou certificats EV, qui permettent de prouver que le propriétaire d’un site Web a les droits exclusifs sur le nom de domaine pour lequel il demande un certificat), l’enregistrement s’étendra donc, pour Symantec, à tous les certificats au milieu de l’année prochaine.

Google va plus loin en réclamant une analyse détaillant pourquoi les certificats supplémentaires détectés par ses soins n’ont pas été identifiés initialement. Tout en demandant à Symantec les raisons qui l’ont poussé à affirmer que ces défaillances résultent d’erreurs individuelles.

Et ce n’est pas tout : le spécialiste de la sécurité est également sommé de prouver sa conformité à un certain nombre de standards du domaine et de faire réaliser un audit par une tierce partie, note Silicon.fr.

La firme a réagi rapidement. Assurant avoir déjà « mis en place des outils, des processus et des règles supplémentaires », elle fait aussi part de sa volonté de se conformer au Certificate Transparency pour tous les certificats qu’elle émet.

Crédit photo : igor.stevanovic – Shutterstock.com

Recent Posts

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

2 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

3 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

4 semaines ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

1 mois ago