Jean-Yves Faurois, Keynectis : "C'est l'industrie bas de gamme du SSL qui a été piratée"

05 avril 2011 à 17h48
0
00FA000004147114-photo-jean-yves-faurois-keynectis.jpg
Suite au vol de 9 certificats SSL chez GlobalTrust, un revendeur de l'éditeur Comodo, nous avons souhaité en savoir plus sur le mode de création des certificats SSL (Secure socket Layer). Ces certificats sont une sorte de passeport électronique qui permettent d'établir le lien entre une page web hébergée et son propriétaire. Ce certificat authentifie donc le serveur afin de sécuriser les échanges avec les internautes qui s'y connectent.

Jean-Yves Faurois, directeur technique de l'éditeur de sécurité Keynectis nous explique comment une telle attaque a pu être menée. Interview.

Un hack a récemment permis de dérober 9 certificats utilisés pour le mail Google, pour Yahoo, Skype ou encore Mozilla. Comment éviter ce type d'attaque ?

Tout est lié au mode de fonctionnement de Comodo qui favorise l'automatisation d'un certain nombre d'opérations, notamment l'interconnexion avec les revendeurs. Par exemple, nos partenaires qui se connectent sur notre site ne viennent pas avec des bouts de code car nous leur demandons de nous fournir des informations précises. Sont-ils habilités pour faire la demande de certificat, sur quels domaines...
Toute la question de la sécurité réside donc dans les contrôles manuels. Après ce qu'il faut savoir c'est qu'avec cette affaire, c'est l'industrie bas de gamme du certificat SSL qui a été piratée.

Cette attaque est donc le fait d'un manque de mesures contraignantes ? Dans sa revendication, le hacker estimait que certains pans du marché de la sécurité n'étaient pas... sécurisés.

Les besoins techniques d'abord mais aussi les besoins courants des consommateurs, avec la forte poussée du E-commerce, ont fait que le marché du SSL s'est développé tout seul. Pourtant, au départ, le but était que tout un chacun puisse sécuriser son trafic Internet.
Il faut aussi évoquer la course effrénée vers la réduction des coûts. Certains ont fait des recherches d'optimisation des coûts afin de proposer des certificats moins chers...

Sans mesures contraignantes dures, quelles sont les initiatives menées afin d'établir une meilleure gouvernance de cette partie de l'industrie de la sécurité ?

Il n'y a pas de volonté particulière d'encadrer le développement de ce marché. Par contre, le CAB forum (Certification Authority/Browser Forum) agit dans l'optique de réguler les conditions de délivrance des certificats serveurs. Il milite, par exemple, pour qu'un éditeur vérifie lui-même l'existence physique et juridique des entités qui font la demande de certificat. De même, dans notre cas, nous menons des audits afin de vérifier ces informations.
Toujours est-il que ce cas est une faillite du système, Comodo est quand même un acteur important. Que tout le monde ne soit pas au niveau nous amène à nous poser des questions sur la responsabilité de chacun.

Quelles sont les failles connues en matière de SSL, certains navigateurs ou OS seraient-ils de mauvais élèves ?

(rires) Précisément, certains systèmes d'exploitation ne vérifient pas la CRL ou l'OCSP (liste de révocation des certificats et les protocoles Internet utilisés pour valider, en temps réel, les certificats électroniques, ndr). Par exemple, Firefox ne vérifie pas systématiquement les CRL quel que soit l'OS utilisé, tout comme Chrome sous Linux. Enfin, Mac OS X ne vérifie pas non plus parfois la CRL et l'OCSP.
Ces manques ne doivent cependant pas cacher le fait que des efforts ont déjà été faits. Prenez la barre verte de certains navigateurs qui certifie la connexion d'un site d'achat en ligne, ce type d'outil est une bonne chose pour la compréhension de tous.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page