Microsoft blackliste 20 autorités de certification, dont le Français Certigna

Dès janvier, Microsoft ne reconnaîtra plus comme sûres une vingtaine d’autorités de certification dans le monde, dont le Français Certigna. Ce dernier parle d’un bug administratif qu’il espère régler très vite.

Pas vraiment un cadeau de Noël. En fin de semaine dernière, Microsoft a publié une liste de 20 autorités de certification qui ne seront plus reconnues comme sûres dès janvier 2016. La conséquence ? En sortant du programme du premier éditeur mondial (Trusted Root Certificate Program), ces autorités verront leurs certificats exclus de la liste de Windows, liste exploitée par les navigateurs Google Chrome, Internet Explorer et Edge, par des clients de messagerie et autres applications utilisant les protocoles de chiffrement SSL/TLS. Quand un des certificats en question sera employé, les utilisateurs de ces solutions seront confrontés à des messages d’alerte, les avertissant du manque de sécurisation de leurs communications.

Dans un billet de blog, Redmond explique que la mesure de bannissement résulte de l’incapacité des autorités en question à se conformer à de nouvelles exigences en matière d’audit. « Au printemps dernier, nous avons engagé un dialogue avec les autorités de certification, afin de recueillir leurs feedback sur les changements à venir du programme Trusted Root Certificate. Ces changements se traduisent notamment par des exigences plus strictes en termes techniques et d’audit », écrit le premier éditeur mondial. Changements, qui auraient été publiés en juin dernier, et auxquels ne seraient pas parvenus à se conformer la plupart des autorités de certification aujourd’hui blacklistées. Redmond ajoutant que certaines autres ont volontairement choisi de ne pas le faire, pour des raisons que l’éditeur ne précise pas.

Le Français Certigna : un bug administratif

Parmi les cibles, figure notamment Certigna, une autorité de certification appartenant à la société du nord de la France Dhimyotis, qui affirme compter 10 000 clients (dont Groupama, la Mairie de Paris, Atos Worldline, Chambersign, le Régime Social des Indépendants, BNP Paribas, Crédit Mutuel Arkea ou la SNCF). La société explique avoir pris connaissance de la mesure vendredi, via la publication du billet de blog sur le site Microsoft. Sur son site, Dhimyotis affirme qu’il s’agit « d’un malentendu en cours de régularisation ». Joint par la rédaction, Arnaud Dubois, le Pdg de Dhimyotis, évoque un bug administratif en cours de régularisation : « Nous espérons être très rapidement retiré de cette liste, car nous respectons les nouvelles conditions d’audit de Microsoft. Notre présence sur la liste résulte simplement d’une erreur de transmission d’un document ; celui-ci sera transmis à Microsoft dès demain. » Certigna est reconnu par Microsoft depuis 2008-2009. Signalons que LuxTrust, une autorité luxembourgeoise, explique elle aussi avoir été placée sur la liste noire du premier éditeur mondial suite à un « malentendu ».

Parmi les autorités sanctionnées, figurent encore Ceska Posta (la Poste de la République tchèque), CyberTrust (une filiale de SoftBank au Japon), DanID (opéré par l’entreprise danoise Nets) ou la banque américaine Wells Fargo. De son côté, Serasa, qui fournit des services financiers au Brésil, indique que ses trois autorités placées sur la liste noire par Microsoft n’émettent plus de nouveaux certificats depuis janvier dernier. C’est donc volontairement que cette société a retiré ces trois autorités du programme.

Dans les colonnes de Computerworld, Microsoft indique que la mesure n’a rien à voir avec les efforts de l’industrie pour mettre à la retraite SHA-1, même si tous les certificats racines ciblés par Redmond sont basés sur cet algorithme.

A lire aussi :

Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes

HTTPS : Google bannit les certificats Symantec de Chrome et Android

Crédit photo : © Pavel Ignatov – Schuttersock