Firefox : le retrait des certificats 1024-bit affecte plus de 100 000 sites Web

Par
Le 08 septembre 2014
 0
Si la dernière version de Firefox constitue une mise à jour de sécurité, celle-ci se traduit également par plusieurs problèmes de certificats pour plus d'une centaine de milliers de sites Internet.

00c8000006088422-photo-logo-firefox-2013.jpg
Dans leur nouvelle version, Firefox et Thunderbird ne prennent plus en charge les certificats chiffrés en 1024-bit. Cette stratégie fait suite à un ensemble de recommandations publiées par le NIST, l'institut des standards et des technologies.

Pour mémoire, ce certificat permet d'authentifier le serveur et donc de garantir une connexion sécurisée entre ce dernier et le navigateur. Cela permet d'éviter qu'un pirate ne puisse tromper l'internaute avec un faux site marchand.

Le NIST a estimé (PDF) que les chiffrements en 1024-bit devraient être dépréciés en 2010 et désactivés en 2013. L'objectif est de migrer un maximum d'organisations à adopter des certificats en 2048-bit. Toutefois, bon nombre de sites Internet reposent toujours sur un certificat en 1024-bit. Plus précisément selon le cabinet d'analyse Rapid7, l'outil de scan Project Sonar a déterminé que 107 535 sites internet seraient affectés par la décision de Mozilla.

Concrètement, cela signifie que les internautes disposant de la dernière version de Firefox obtiendront une erreur de certificat lorsqu'ils se rendront sur l'un de ces domaines. Toutefois cela ne signifiera pas qu'il s'agit de sites frauduleux.

Par ailleurs, Mozilla a ajouté les Public Key Pinning, une fonctionnalité permettant aux éditeurs de spécifier l'organisation leur ayant délivré un certificat. Il faut dire qu'en 2011, Google avait été victime d'une fraude. Plus précisément l'autorité de certification néerlandaise DigiNotar avait émis des certificats pouvant être acceptés par les serveurs de google.com. Toutefois, selon la firme californienne, DigiNotar n'avait pas été autorisée à produire des certificats sur ce domaine ou ses sous-domaines rattachés (mail.google.com, calendar.google.com...)

Ces clés publiques sont pour l'heure rattachées à addons.mozila.org ainsi qu'à twitter.com. Le domaine google.com devrait également adopter cette mesure de sécurité par la suite.


Modifié le 01/06/2018 à 15h36

Les dernières actualités Sécurité des données

scroll top