HTTPS : Google menace de blacklister les certificats de Symantec

Fini de rire ! Google semble déterminé à user de son poids pour pousser les autorités de certification à plus de rigueur. Symantec en fait les frais : l’éditeur est sommé de se plier à une série d’exigences de Mountain View.

Google met Symantec au pied du mur. Le géant de la recherche laisse jusqu’au 1er juin prochain à l’éditeur de sécurité pour rendre des comptes détaillés sur les processus de son autorité de certification, faute de quoi Chrome, le 1er navigateur de la planète, émettra des alertes de sécurité à chaque fois qu’il se trouvera en présence d’un certificat émis par Thawte, l’autorité de certification de Symantec.

L’affaire remonte en réalité à septembre dernier. Symantec dévoile alors avoir découvert que certains de ses employés émettaient des certificats de chiffrement TLS non autorisés permettant d’usurper l’identité de sites HTTPS. Une affaire qui a poussé l’éditeur à mettre à la porte ces employés, dont le nombre n’a pas été rendu public. A l’époque de cette découverte embarrassante, le 18 septembre, Symantec assurait que la manipulation concernait seulement « un petit nombre de certificats de test », émis pour 3 domaines « durant des tests de produit ». L’éditeur expliquait que les certificats en question – au nombre de 23 – et les clefs étaient restés sous son contrôle. Bref, que l’impact sur la sécurité d’Internet était nul. Google avait ensuite indiqué que certains des certificats émis de façon inappropriée concernaient ses domaines google.com et www.google.com.

Google raille les cafouillages de Symantec

Le géant de la recherche a ensuite pris la tête de la fronde contre Symantec poussant l’éditeur de sécurité à reconnaître, le 12 octobre, la réelle ampleur du problème, soit 164 certificats non autorisés supplémentaires émis pour 76 domaines et 2 458 certificats émis pour des domaines non enregistrés, une pratique qui n’est plus autorisée depuis avril 2014. Symantec avait alors expliqué avoir rouvert son enquête « suite aux questions de ses partenaires de l’industrie ».

Un cafouillage qui pousse aujourd’hui Google à mettre la pression. Un de ses ingénieurs, Ryan Sleevi, écrit dans un billet de blog posté hier : « constater qu’une autorité de certification peut avoir un problème sur la durée de cette nature et qu’elle est incapable d’en mesurer la portée après en avoir été alerté et avoir réalisé un audit s’avère très inquiétant. » D’où l’exigence de Google : voir Symantec se conformer au protocole dit de Certificate Transparency, via lequel les autorités de certification – comme Thawte donc – doivent se soumettre à un système auditable et public d’enregistrement des émissions de certificats. Déjà imposé depuis janvier 2015 par Google pour les certificats à validation étendue (ou certificats EV qui permettent de prouver que le propriétaire d’un site Web a les droits exclusifs sur le nom de domaine pour lequel il demande un certificat), l’enregistrement s’étendra donc, pour Symantec, à tous les certificats au milieu de l’année prochaine.

La liste des exigences de Google

Bref, Google place Symantec en quarantaine et le somme de se conformer au standard (encore expérimental) Certificate Transparency. Et Mountain View va plus loin : manifestement pas satisfait des explications données jusqu’alors par Symantec, Ryan Sleevi réclame une analyse « détaillant pourquoi les certificats supplémentaires que nous avons détectés n’ont initialement pas été identifiés » ainsi que le détail des défaillances. Notamment les raisons qui poussent l’éditeur à affirmer que ces défaillances résultent d’erreurs individuelles. Google demande encore au spécialiste de la sécurité de prouver sa conformité à un certain nombre de standards du domaine (les critères WebTrust pour les autorités de certification) – une exigence généralement imposée aux nouvelles autorités de certification – et de faire réaliser un audit par une tierce partie. Le géant de la recherche s’inquiète notamment de savoir si les employés de l’éditeur ont pu accéder aux clefs privées liées aux certificats émis sans autorisation.

Symantec a réagi rapidement et assure avoir déjà « mis en place des outils, des processus et des règles supplémentaires » tout en confirmant sa volonté de se conformer au Certificate Transparency pour tous les certificats qu’il émet. La firme précise par ailleurs avoir déjà commandé un audit à une tierce partie.

La passe d’armes prouve que Google entend bien se servir de son poids sur le Web pour serrer la vis aux autorités de certification, dont plusieurs ont déjà franchi la ligne jaune : Chine Internet Network Information Center, le National Informatics Centre indien, le néerlandais DigiNotar mais aussi l’Anssi française ! Rappelons qu’en décembre 2014, les certificats émis l’Agence française de la sécurité des systèmes d’information, plus précisément par l’autorité déléguée au sein de la Direction Générale du Trésor, avaient été bloqués par Google, puis par les autres éditeurs de navigateurs. Une erreur humaine, selon l’Anssi, qui s’était traduite par un simple avertissement. Pas sûr que Google serait aujourd’hui aussi accommodant.

A lire aussi :

SHA-1 : un algorithme clef du chiffrement HTTPS n’est plus sécurisé
Chrome va stigmatiser les sites non HTTPS

Crédit Photo : SergeyNivens-Shutterstock