Normalement un certificat émis par un tiers de confiance, est là pour garantir l’identité de celui qui le possède et le respect des données personnelles qu’il véhicule. Mais dans « tiers de confiance », il y a « confiance ». Or cela fait 2 fois en moins de 2 ans, que Symantec, par ailleurs spécialiste de la sécurité est « rattrapé par la patrouille », pour avoir émis des certificats sans aucun contrôle. Bravo l’artiste.

Symantec, l’un des grands spécialistes de la sécurité et de l’authentification, est un fournisseur très connu de certificats. C’est un tiers de confiance, ce qui veut dire que quand on lui achète un certificat, il est censé faire les vérifications minimales pour s’assurer que le demandeur n’est pas une entreprise maffieuse en mal de reconnaissance administrative. C’est d’ailleurs lui qui a racheté Verisign et qui à travers lui dispose d’un véritable monopole mondial sur cette activité.

Dans le domaine des certificats SSL/TLS, il existe on le rappelle, 3 natures de certificats : DV (Domain Validation), OV (Organization Validation) et EV (Extended Validation), qui n’imposent pas les mêmes contraintes…et ne sont pas non plus au même prix.

DV est le plus simple qui n’entraîne qu’un seul contrôle, celui de l’existence d’une adresse courriel valide sur le nom du domaine qu’il s’agit de certifier. Comme il n’y a rien de plus simple que de se faire passer par celui que l’on n’est pas, de très nombreux certificats DV ont été émis de manière folklorique et ne certifient que ceux qui y croient.

OV est déjà plus sérieux, qui induit par le certificateur de procéder à des contrôles plus sérieux, qui peuvent durer de 4 à 5 jours sur les données administratives du client.

Quant au niveau EV, le plus sophistiqué, il peut demander jusqu’à 1 mois d’investigation, avant d’être attribué. Mais cette fois le tiers de confiance s’assure par une véritable enquête de l’existence du demandeur et de la légitimité de sa demande.

Ces règles déontologiques ont semble-t-il été bafouées, une fois de plus, par Symantec.

Il y a quelques semaines l’éditeur de Moutain View, dont l’un des créateurs est Peter Norton, l’un des tout premiers fournisseurs de logiciels anti-virus, s’est fait prendre la main dans le sac en attribuant 107 certificats erronés, entre le 14 juillet 2016 et le 18 janvier 2017.

Selon un chercheur spécialisé en sécurité, Andrew Ayer, 8 d’entre eux ont été attribués sans l’autorisation des propriétaires des noms de domaines, qui n’ont même pas été informés de l’opération. Quant aux 99 autres, qui concernent toutes sortes de compagnies, c’est un défaut de vérification administrative qui en est la cause, Symantec n’ayant manifestement pas fait le travail, pour lequel il est normalement rémunéré.

L’affaire mise à jour par Andrew Ayer et reprise par Google peut avoir pour conséquence de détériorer de façon définitive la confiance que l’on peut accorder aux certificats et aux organismes qui les attribuent. Le problème étant qu’il faut leur trouver une solution de remplacement et que celles-ci ne sont pas légion. SAML peut-être, encore que ce serait déplacer le problème, car on ne voit pas pourquoi on aurait plus confiance en un IdP (Identity Provider), qu’en un certificateur tel que Symantec.
Google en accusateur

En fait, le principal accusateur de Symantec n’est pas l’un de ces clients, qui pourrait s’estimer lésé devant tant d’amateurisme, mais tout simplement Google, qui était déjà monté au créneau lors d’une affaire identique en 2015 et qui récidive en obligeant Symantec à consigner tous les certificats émis de manière anormale.

Ce qui d’une certaine manière peut être jugé inutile, puisque la plupart des certificats ont été révoqués dans l’heure et que normalement ils ne pouvaient plus être utilisés.

Faux, rétorque Google, qui rappelle que même révoqué, un certificat peut toujours être exploité pour valider un faux site, ceci dans la mesure où la diffusion des listes des certificats révoqués ne peut pas se faire en temps réel et qu’il y aura toujours une période, plus ou moins longue, où certains certificats passeront à travers les mailles du filet et qui pourront être exploitée par les criminels.

Quant à Symantec, après avoir joué les « oies outragées » et estimé que les allégations de Google étaient « exagérées et trompeuses » et indiqué qu’il mènerait sa propre enquête, dont nous attendons d’ailleurs toujours les résultats, il a peut-être trouvé la solution en se décidant à vendre sa division. C’est ce que semble prouver des bruits insistants de vente auprès de sociétés de capital-risque, avec lesquelles Symantec serait en cours de discussion (on parle d’un prix de vente au-delà du milliard $).

Le seul côté positif de l’affaire, c’est que Symantec n’a pas accusé la Corée du Nord, d’être à l’origine de ses déboires. Ca change…