Jean-Yves Faurois, Keynectis : "C'est l'industrie bas de gamme du SSL qui a été piratée"

05 avril 2011 à 17h48
0
00FA000004147114-photo-jean-yves-faurois-keynectis.jpg
Suite au vol de 9 certificats SSL chez GlobalTrust, un revendeur de l'éditeur Comodo, nous avons souhaité en savoir plus sur le mode de création des certificats SSL (Secure socket Layer). Ces certificats sont une sorte de passeport électronique qui permettent d'établir le lien entre une page web hébergée et son propriétaire. Ce certificat authentifie donc le serveur afin de sécuriser les échanges avec les internautes qui s'y connectent.

Jean-Yves Faurois, directeur technique de l'éditeur de sécurité Keynectis nous explique comment une telle attaque a pu être menée. Interview.

Un hack a récemment permis de dérober 9 certificats utilisés pour le mail Google, pour Yahoo, Skype ou encore Mozilla. Comment éviter ce type d'attaque ?

Tout est lié au mode de fonctionnement de Comodo qui favorise l'automatisation d'un certain nombre d'opérations, notamment l'interconnexion avec les revendeurs. Par exemple, nos partenaires qui se connectent sur notre site ne viennent pas avec des bouts de code car nous leur demandons de nous fournir des informations précises. Sont-ils habilités pour faire la demande de certificat, sur quels domaines...
Toute la question de la sécurité réside donc dans les contrôles manuels. Après ce qu'il faut savoir c'est qu'avec cette affaire, c'est l'industrie bas de gamme du certificat SSL qui a été piratée.

Cette attaque est donc le fait d'un manque de mesures contraignantes ? Dans sa revendication, le hacker estimait que certains pans du marché de la sécurité n'étaient pas... sécurisés.

Les besoins techniques d'abord mais aussi les besoins courants des consommateurs, avec la forte poussée du E-commerce, ont fait que le marché du SSL s'est développé tout seul. Pourtant, au départ, le but était que tout un chacun puisse sécuriser son trafic Internet.
Il faut aussi évoquer la course effrénée vers la réduction des coûts. Certains ont fait des recherches d'optimisation des coûts afin de proposer des certificats moins chers...

Sans mesures contraignantes dures, quelles sont les initiatives menées afin d'établir une meilleure gouvernance de cette partie de l'industrie de la sécurité ?

Il n'y a pas de volonté particulière d'encadrer le développement de ce marché. Par contre, le CAB forum (Certification Authority/Browser Forum) agit dans l'optique de réguler les conditions de délivrance des certificats serveurs. Il milite, par exemple, pour qu'un éditeur vérifie lui-même l'existence physique et juridique des entités qui font la demande de certificat. De même, dans notre cas, nous menons des audits afin de vérifier ces informations.
Toujours est-il que ce cas est une faillite du système, Comodo est quand même un acteur important. Que tout le monde ne soit pas au niveau nous amène à nous poser des questions sur la responsabilité de chacun.

Quelles sont les failles connues en matière de SSL, certains navigateurs ou OS seraient-ils de mauvais élèves ?

(rires) Précisément, certains systèmes d'exploitation ne vérifient pas la CRL ou l'OCSP (liste de révocation des certificats et les protocoles Internet utilisés pour valider, en temps réel, les certificats électroniques, ndr). Par exemple, Firefox ne vérifie pas systématiquement les CRL quel que soit l'OS utilisé, tout comme Chrome sous Linux. Enfin, Mac OS X ne vérifie pas non plus parfois la CRL et l'OCSP.
Ces manques ne doivent cependant pas cacher le fait que des efforts ont déjà été faits. Prenez la barre verte de certains navigateurs qui certifie la connexion d'un site d'achat en ligne, ce type d'outil est une bonne chose pour la compréhension de tous.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

E3 2021 : une édition en dématérialisé est prévue
Chaise gamer : notre comparatif pour jouer ou travailler le plus confortablement possible
Netflix, Disney+, Apple TV+ et Prime video : les nouveautés de la SVoD en mars 2021
Soldes : les meilleures promotions high-tech à saisir ce week-end
Test eufy Indoor Cam 2K Pan & Tilt : une caméra de sécurité rotative à l'excellent rapport qualité-prix
Hitomi, l'espoir brisé des télescopes en bande X
Essai Mercedes Classe S : le test de la plus technologique des limousines
Test NVIDIA GeForce RTX 3060 : la carte idéale pour le Full HD (1080p)
Jeux vidéo : pourquoi les patchs day one sont-ils devenus la norme ?
Guide crypto : comment et quand se lancer dans les crypto-monnaies ?
Haut de page