Chiffrement : Symantec a émis des certificats HTTPS illégitimes

Une nouvelle fois, Symantec est soupçonné d’avoir pris des libertés avec les règles d’émission de certificats TLS.

Selon un chercheur en sécurité, trois autorités de certification reconnues par les navigateurs et appartenant à Symantec (Symantec Trust Network, GeoTrust et Thawte) ont émis, au cours de l’année dernière ou au début de cette année, 108 certificats TLS invalides. Dans certains cas, ces certificats permettaient à un assaillant de tromper les navigateurs sur la nature d’un site, autrement dit de fabriquer un site malveillant jugé légitime par Chrome, Firefox, Edge ou IE.

Google et les autres éditeurs de navigateur imposent aux autorités de certification de n’émettre des sésames qu’aux entités capables de prouver qu’elles contrôlent un nom de domaine ou une marque. Selon Andrew Ayer, le chercheur et fondateur de SSLMate (une autorité de certification), les certificats incriminés ne respectaient pas ces bonnes pratiques : neuf d’entre eux ont été émis sans l’autorisation du possesseur du nom de domaine concerné et 99 autres n’ont pas fait l’objet d’une validation stricte des informations qu’ils renferment sur l’entreprise émettrice.

Certificats : révoquer est insuffisant

La plupart des certificats en question semblent avoir été émis pour des tests et ont été révoqués sous une heure. Il n’en reste pas moins qu’il s’agit là d’une violation importante des règles en place. Tout simplement parce que la révocation d’un certificat ne signifie pas qu’il ne puisse plus être utilisé pour valider un site pirate, les navigateurs ne parvenant pas toujours à mettre à jour en temps réel la liste des certificats invalidés. Raison pour laquelle l’industrie, sous l’égide du CA/Browser Forum, a d’ailleurs mis en place des règles strictes d’émission de certificats. « Chrome ne vérifie pas immédiatement la révocation de certificats ; un certificat révoqué peut donc être utilisé dans une attaque tout aussi simplement qu’un certificat non révoqué, explique Andrew Ayer, dans les colonnes de Ars Technica. Par défaut, les autres navigateurs acceptent un certificat révoqué si un assaillant parvient à bloquer l’accès au serveur de révocation. »

Symantec tancé par Google

Ce n’est pas la première fois que Symantec est mis en cause pour ses pratiques d’émission de certificats. En septembre dernier, l’éditeur expliquait avoir découvert que certains de ses employés émettaient des certificats de chiffrement TLS non autorisés permettant d’usurper l’identité de sites HTTPS. Une affaire qui avait poussé l’éditeur à mettre à la porte ces employés, dont le nombre n’a pas été rendu public. A l’époque de cette découverte embarrassante, Symantec assurait que la manipulation concernait seulement « un petit nombre de certificats de test » (23), émis pour 3 domaines « durant des tests de produit ». Bref, que l’impact sur la sécurité d’Internet était nul. Sauf que Google avait ensuite indiqué que certains des certificats émis de façon inappropriée concernaient ses domaines google.com et www.google.com.

Mountain View avait alors lancé sa propre enquête, forçant Symantec à reconnaître la réelle ampleur du problème, soit 164 certificats non autorisés supplémentaires émis pour 76 domaines et 2 458 certificats émis pour des domaines non enregistrés, une pratique qui n’est plus autorisée depuis avril 2014. Après avoir mis la pression par billets de blog interposés sur l’éditeur d’outils de sécurité, Google avait fini par blacklister tous les certificats émis par une racine (Class 3 Public Primary) appartenant à une autorité de certification de Symantec.

A lire aussi :

HTTPS : Google bannit les certificats Symantec de Chrome et Android

AWS livre des certificats SSL/TLS gratuitement

OVH propose gratuitement les certificats SSL de Let’s Encrypt

Crédit photo : Pavel Ignatov – Shutterstock