Pour gérer vos consentements :

Microsoft blackliste 20 autorités de certification, dont le Français Certigna

Pas vraiment un cadeau de Noël. En fin de semaine dernière, Microsoft a publié une liste de 20 autorités de certification qui ne seront plus reconnues comme sûres dès janvier 2016. La conséquence ? En sortant du programme du premier éditeur mondial (Trusted Root Certificate Program), ces autorités verront leurs certificats exclus de la liste de Windows, liste exploitée par les navigateurs Google Chrome, Internet Explorer et Edge, par des clients de messagerie et autres applications utilisant les protocoles de chiffrement SSL/TLS. Quand un des certificats en question sera employé, les utilisateurs de ces solutions seront confrontés à des messages d’alerte, les avertissant du manque de sécurisation de leurs communications.

Dans un billet de blog, Redmond explique que la mesure de bannissement résulte de l’incapacité des autorités en question à se conformer à de nouvelles exigences en matière d’audit. « Au printemps dernier, nous avons engagé un dialogue avec les autorités de certification, afin de recueillir leurs feedback sur les changements à venir du programme Trusted Root Certificate. Ces changements se traduisent notamment par des exigences plus strictes en termes techniques et d’audit », écrit le premier éditeur mondial. Changements, qui auraient été publiés en juin dernier, et auxquels ne seraient pas parvenus à se conformer la plupart des autorités de certification aujourd’hui blacklistées. Redmond ajoutant que certaines autres ont volontairement choisi de ne pas le faire, pour des raisons que l’éditeur ne précise pas.

Le Français Certigna : un bug administratif

Parmi les cibles, figure notamment Certigna, une autorité de certification appartenant à la société du nord de la France Dhimyotis, qui affirme compter 10 000 clients (dont Groupama, la Mairie de Paris, Atos Worldline, Chambersign, le Régime Social des Indépendants, BNP Paribas, Crédit Mutuel Arkea ou la SNCF). La société explique avoir pris connaissance de la mesure vendredi, via la publication du billet de blog sur le site Microsoft. Sur son site, Dhimyotis affirme qu’il s’agit « d’un malentendu en cours de régularisation ». Joint par la rédaction, Arnaud Dubois, le Pdg de Dhimyotis, évoque un bug administratif en cours de régularisation : « Nous espérons être très rapidement retiré de cette liste, car nous respectons les nouvelles conditions d’audit de Microsoft. Notre présence sur la liste résulte simplement d’une erreur de transmission d’un document ; celui-ci sera transmis à Microsoft dès demain. » Certigna est reconnu par Microsoft depuis 2008-2009. Signalons que LuxTrust, une autorité luxembourgeoise, explique elle aussi avoir été placée sur la liste noire du premier éditeur mondial suite à un « malentendu ».

Parmi les autorités sanctionnées, figurent encore Ceska Posta (la Poste de la République tchèque), CyberTrust (une filiale de SoftBank au Japon), DanID (opéré par l’entreprise danoise Nets) ou la banque américaine Wells Fargo. De son côté, Serasa, qui fournit des services financiers au Brésil, indique que ses trois autorités placées sur la liste noire par Microsoft n’émettent plus de nouveaux certificats depuis janvier dernier. C’est donc volontairement que cette société a retiré ces trois autorités du programme.

Dans les colonnes de Computerworld, Microsoft indique que la mesure n’a rien à voir avec les efforts de l’industrie pour mettre à la retraite SHA-1, même si tous les certificats racines ciblés par Redmond sont basés sur cet algorithme.

A lire aussi :

Chiffrement : la retraite de SHA-1 va rendre aveugles des millions d’internautes

HTTPS : Google bannit les certificats Symantec de Chrome et Android

Crédit photo : © Pavel Ignatov – Schuttersock

Recent Posts

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

3 heures ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

1 jour ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

1 jour ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

1 jour ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

2 jours ago

Phi-3-mini : Microsoft lance son premier SLM

Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…

2 jours ago