Chiffrement : le Français Certigna n’est plus blacklisté par Microsoft

AuthentificationDSIProjetsSécurité
3 4 Donnez votre avis

Placé en fin de semaine dernière sur une liste de 20 autorités de certification vues comme insuffisamment sûres par Microsoft, le Français Certigna en est sorti rapidement. Et évoque un bug administratif pour expliquer cet épisode.

Le « malentendu » n’aura finalement duré que quelques jours pour Certigna. Hier, le Français est sorti de la liste des autorités de certification mises à l’index par Microsoft. En fin de semaine dernière, Redmond avait publié une liste de 20 autorités qui, selon lui, n’étaient pas en mesure ou ne souhaitaient pas se conformer à ses nouvelles exigences en matière d’audit. Conséquence annoncée : dès janvier prochain, les certificats émis par ces autorités ne seraient plus reconnus comme sûrs par Windows, donc par les applications exploitant la liste de l’OS, dont les navigateurs Microsoft Edge et Internet Explorer ou encore Google Chrome. Quand un des certificats en question sera employé, les utilisateurs de ces solutions seront confrontés à des messages d’alerte, les avertissant du manque de sécurisation de leurs communications HTTPS ou autre.

Une menace lourde de conséquences pour le Français Certigna, une autorité de certification appartenant à la société du nord de la France Dhimyotis, qui affirme compter 10 000 clients dont de nombreux grands groupes hexagonaux (Groupama, la Mairie de Paris, Atos Worldline, le Régime Social des Indépendants, BNP Paribas, Crédit Mutuel Arkea ou la SNCF). Hier, dans nos colonnes, Arnaud Dubois, le Pdg de Dhimyotis, assurait que sa présence sur la liste noire du premier éditeur mondial résultait d’un bug administratif et que le nom de Certigna serait très vite lavé de tout soupçon. C’est chose faite depuis hier, la liste mise à jour publiée par Microsoft ne comprenant plus le nom de la société de Villeneuve d’Ascq. « C’était un problème administratif, commente le dirigeant. L’été dernier, Microsoft avait proposé un avenant au contrat que nous étions prêts à signer. Mais nous n’avons reçu qu’un projet et attendions la version définitive pour officialiser notre accord ». Un contrat définitif qui, selon Dhimyotis, n’est jamais arrivé jusqu’à Villeneuve d’Ascq… En urgence, ces derniers jours, le géant américain et la PME hexagonale d’une vingtaine de personnes ont donc mis à jour leurs accords et Certigna est sorti de la liste noire de Redmond. « Microsoft a été très réactif », souligne Arnaud Dubois.

Certigna n’est pas un cas isolé

Même si le premier éditeur mondial a probablement été un peu vite en besogne en désignant à la vindicte publique 20 autorités de certification en fin de semaine dernière. Une lecture attentive de la liste mise à jour montre qu’elles ne sont désormais plus que 14 appelées à sortir du programme du premier éditeur mondial (Trusted Root Certificate Program), dont certaines ayant déjà expliqué que ce retrait est volontaire. Comme Certigna, Ceska Posta, une autorité dépendant de Poste de la République tchèque, ou LuxTrust, basé au Luxembourg, ne figurent plus sur la nouvelle liste. Le bug administratif dont Certigna dit avoir été victime semble donc ne pas avoir été un cas isolé.

A lire aussi :

Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes

HTTPS : Google bannit les certificats Symantec de Chrome et Android

© Pavel Ignatov – Shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur