Symantec est l’un des acteurs de poids du monde de la sécurité. Quant à Verisign , il détenait un quasi-monopole dans la fourniture des certificats numériques. Le premier a racheté le second. Ce que les observateurs ont estimé être une belle affaire. Mais personne ne s’est demandé si c’était aussi le cas pour les utilisateurs. Les dérives actuelles de Symantec devraient pourtant nous inciter à être prudents et plus précisément concernant les briques, qui normalement constituent la garantie sécuritaire de notre système d’information.
Les dangers du monopole

Personne ne nie la pertinence des solutions Symantec, ni la qualité et la robustesse des certificats d’origine Verisign. Tout au plus peut-on reprocher à ce dernier de s’être fait voler de nombreux certificats, sans que l’on sache exactement comment les criminels s’y sont pris. Ni Verisign ni Symantec ne tenant à ce que l’on commente trop cet incident, qui a quand même mis en défaut les barrages mis en place. Ce qui pour un spécialiste de la sécurité ne faisait pas très sérieux.

Mais ce qui nous gêne surtout, c’est ce qui se cache derrière les évènements et les risques que nous prenons en mettons tous nos œufs dans le même panier, autrement dit les risques liés aux monopoles et situations dominantes.

Aujourd’hui Verisign n’existe plus, mais son activité de fournisseur de certificats a été reprise sous l’enseigne directe de Symantec, qui bénéficie donc toujours d’une position enviée avec plus de 90 % des certificats fournis, directement ou par l’intermédiaire de certifiés, sur toute la planète.

Avec de telles parts de marchés, il est évident que la quasi-totalité des entreprises ont pris un grand risque, car personne ne peut dire ce qui se passerait si la branche certificats de Symantec venait à avoir des problèmes, la même inquiétude pouvant s’appliquer à Symantec lui-même, qui pourrait éprouver des difficultés, passagères ou non, comme cela semble être le cas actuellement.

Les licenciements ne sont jamais une bonne nouvelle

Or, c’est exactement ce qui se passe en ce moment. Symantec a annoncé une coupe de 8 % dans ses effectifs, 1 000 personnes sur les 11 000 du total, son objectif étant de réduire les dépenses annuelles de 110 millions $.

Manifestement Symantec éprouve des difficultés, ce que confirme le décrochage de 10 % de son action, les financiers détestant plus que toute autre, l’incertitude dans laquelle semble s’être engagée la Compagnie de l’actuel CEO, Steve Bennett.

La question que nous posons est alors toute simple. Que se passerait-il si Symantec mettait la clé sous la porte, autrement dit était vendu à un autre prestataire, qui n’aurait pas nécessairement la même compétence et qui peut-être verrait dans cette opération un simple évènement financier, une bonne « affaire ». Peut-être n’appliquerait-il plus la même politique tarifaire que celle dont il aurait hérité et surtout ne présenterait plus les mêmes garanties de solidité et de pérennité que Symantec.

Il faudrait alors, pour le moins, que les clients s’interrogent sur une éventuelle migration vers un autre fournisseur, avec tout ce que cela comporte d’incertitudes techniques et d’aléas financiers.

Quand on sait toute l’importance que revêtent aujourd’hui les artefacts sécuritaires et il suffit pour s’en convaincre de se rappeler que Google a annoncé qu’il « tamponnerait » d’une étiquette infâmante, les sites qui ne seraient pas encadrés par un certificat SSL (dont Symantec est le premier fournisseur au monde), on imagine toutes les conséquences que des soubresauts mal contrôlés pourraient entraîner.

La morale de l’histoire

Evidemment, rien ne dit que ces prévisions apocalyptiques vont se produire et nous évoquons ici qu’une très peu probable situation de « business fiction ».

Mais cela ne doit pas nous empêcher de réfléchir et peut-être militer pour un nouvel ordre moral de la certification. Qui pourrait être différent et basé sur d’autres pratiques que celles d’aujourd’hui, celles mises en œuvre pour l’obtention d’un passeport, par exemple.

Accepterions-nous de devoir passer par une officine privée pour obtenir un passeport, qui nous ferait payer (très cher) le service, l’objectif étant de garantir que nous sommes celui que nous prétendons être, c’est-à-dire exactement la même chose que ce que proposent de faire les certificats émis par Symantec, mais cette fois autant pour les individus que les applications.

Ces certificats n’ont pas pour vocation d’être un produit commercial. Ils devraient être le résultat d’un service régalien, fourni par des entités gouvernementales, sans autre motivation financière que celle de nous faire participer à l’effort commun.

On ne voit pas pourquoi nous continuerions à passer par une structure privée à but lucratif alors qu’il s’agit d’un service équivalent à celui d’un passeport.

Il est probable que le marché proprement dit du certificat va d’ailleurs se tasser au profit des certificats gratuits, tout aussi sécurisants, à condition d’être proposés par des organismes officiels crédibles.

Le mouvement a déjà commencé et nous irons jusqu’à parier 10 cents, à horizon cinq ou dix ans, sur une situation très différente de ce qu’elle est aujourd’hui. Avec un gros avantage, le fait de ne plus avoir à nous inquiéter pour nos certificats, si notre fournisseur préféré venait à licencier la moitié de son personnel ou s’apprêtait à changer de métier.