On se souvient qu’en 2010, Symantec, spécialiste de la sécurité, avait racheté Verisign, qui globalement représentait 95 % du marché de l’attribution des certificats dans le monde. Domaine très lucratif, puisque pour certains types de certificats, le coût unitaire d’attribution peut atteindre plusieurs centaines $, renouvelables chaque année.

Sachant qu’un certificat a surtout pour objet de garantir un nom de domaine, mais peut aussi servir à identifier formellement un utilisateur, une application, voire un composant logiciel sur Internet.

De faux certificats Google

Un certificat tel qu’il est attribué par Symantec (Verisign) est un fichier numérique qui contient un certain nombre d’informations administratives sur le certifié, mais aussi sa clé publique, fichier qui est signé numériquement par le tiers certificateur, la signature étant l’empreinte (hash) du certificat, chiffrée par la clé privée du certificateur.

De plus, il existe différents types de certificats, selon l’étendue de l’introspection que va effectuer le certificateur, quant à la réalité du demandeur et le droit qu’il a de faire sa demande. En gros, il s’assurera « plus ou moins » de l’existence concrète du demandeur et peut ne pas aller dans le détail pour contrôler que la demande est légitime.

Dans le monde SSL Internet que nous évoquons, il y a ainsi 3 types de certificats : DV (Domaine Verification), OV (Organization Validation) et EV (Extended Verification), seul le mode EV induisant une véritable enquête de la part du tiers de confiance, qui peut demander jusqu’à 1 mois.

Alors comment se fait-il que de faux certificats puissent être en circulation et soient utilisés de manière frauduleuse.

Il se peut d’abord qu’ils aient été volés et servent ensuite à certifier un nom de domaine, pour inscrire un logiciel malveillant dans une App Store telle que Google Play, par exemple. Le plus souvent la plate-forme ne s’assure pas que le fournisseur du logiciel, dument validé par son certificat, en est bien le propriétaire. Il se contente de s’assurer de sa validité.

Mais ils peuvent aussi avoir été demandés sans l’aval des propriétaires des noms de domaines.

Et dans l’affaire qui « oppose « Google à Symantec, c’est exactement ce qui se passe. Google reprochant à Symantec d’avoir laissé filer des certificats portant sur des noms de domaines qui lui appartiennent, mais qu’il n’a jamais demandés.

Ce qui s’était déjà produit il y a quelques mois et à l’époque Symantec avait fait amende honorable en affirmant que les certificats incriminés n’avaient été générés qu’à des fins de test en interne et que les employés « indélicats », à l’origine de cette maladresse, avaient été licenciés.

Apparemment, Google avait « avalé » cette explication…qui nous semble pourtant cousue de fil blanc. Probablement pour ne pas envenimer la situation.

Le programme « Certificate Transparency »L’ennui pour Symantec est qu’à la mi-octobre un document a fait état de 164 nouveaux certificats qui ont été émis pour 76 domaines, sans avoir eu l’accord de leurs propriétaires, mais aussi de 2.458 certificats pour des domaines non enregistrés.

Pour Google c’était donc la maladresse de trop, qui impose désormais (à partir du 1er juin 2016) que tous les certificats émis, soient conformes à son programme de « Certificate  Transparency ».

Ce programme impose que les tiers certificateurs publient leurs certificats dans une base de données publique, avant de les livrer à leurs clients. Histoire de rendre plus transparente le contexte de ces certificats et surtout de détecter au plus vite, les certificats frauduleux.

Pour l’instant ce programme ne concerne que les certificats SSL EV, les autres devant suivre plus tard.

Concrètement, quand Chrome, le navigateur de Google, aura affaire à un certificat SSL EV, il ira s’assurer qu’il est bien présent dans la base de données et qu’il est conforme aux recommandations « Certificate Transparency ». Si ce n’est pas le cas, à la place de l’icône verte et de l’adresse qui apparaissent en vert dans votre navigateur Chrome, vous aurez un cadenas d’une autre couleur, gris, rouge, selon la gravité du danger potentiel.

En plus de cette conformité, Google exige désormais de Symantec qu’il fasse valider par un audit, ses processus internes d’attribution de certificats par rapport aux 3 standards WebTrust.

Si Symantec ne se plie pas à cette exigence, Google pourrait parfaitement bloquer toutes les connexions dans Chrome pour tous les sites certifiés par Symantec. Ce qui serait la fin de son activité de certification.

Le risque est évidemment trop grand pour Symantec qui procèdera évidemment à l’audit et publiera « à tours de bras » pour démontrer qu’aucun tiers certificateur n’est plus rigoureux que lui.

Après tout il est déjà arrivé qu’un certificateur fasse faillite dans les mêmes conditions. Il s’agissait du néerlandais DigiNotar, qui a disparu des écrans de contrôle.

Alors pourquoi pas Symantec…