Les certificats de sécurité Wayward soulèvent la question de la fiabilité SSL

En tant que consommateurs, nous avons appris à faire confiance à l'icône de cadenas qui apparaît sur la barre d'adresse de nos navigateurs. On nous dit que c'est un signe que notre communication avec un site Web est sûre. Mais un incident impliquant Google et une compagnie de sécurité turque contredit cette idée.

L'entreprise, TurkTrust, a révélé cette semaine qu'en août 2011 elle a accidentellement émis deux clés principales à deux «entités». Les clés principales, appelées «certificats intermédiaires», permettent aux entités de créer des certificats numériques pour n'importe quel domaine sur Internet

Les certificats numériques sont en réalité des clés de cryptage utilisées pour vérifier un site Web. Le certificat de votre banque, par exemple, vérifie auprès de votre navigateur que vous parlez réellement à votre banque lorsque vous effectuez des opérations bancaires en ligne.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Les certificats sont utilisés pour crypter les informations entre vous et un site Web, aussi. C'est ce que signifie le cadenas vert sur la barre d'adresse de votre navigateur. Le navigateur communique avec le site en utilisant Secure Sockets Layer, après vérification de son authenticité.

Un cybercriminel avec un faux certificat qui peut intercepter la communication entre vous et un site web de confiance peut tromper votre navigateur en lui faisant croire qu'il communique avec le site de confiance et détourner votre communication. C'est ce qu'on appelle une «attaque de l'homme du milieu» parce que le voleur se trouve entre vous et le site de confiance.

Erreur corrigée, problème persistant

L'erreur de TurkTust a été découverte par Google le jour de Noël Une plate-forme qui attire l'attention sur Google lorsque quelqu'un tente d'utiliser la plateforme avec un certificat non autorisé.

Après avoir découvert le problème de certificat, Google a informé TurkTrust de la situation, ainsi que Microsoft et Mozilla, qui ont tous modifié leurs plates-formes. pour bloquer les certificats non autorisés créés avec l'autorité de certification intermédiaire.

Ce certificat snafu est juste le dernier signe que le système existant d'émission de certificats numériques a besoin d'être réparé. En mars 2011, par exemple, une société affiliée à l'autorité de certification Comodo a été violée et neuf faux certificats ont été délivrés.

Plus tard dans l'année, des pirates ont violé une autorité de certification néerlandaise, DigiNotar, et émis des dizaines de faux certificats. Google. Les retombées de cet incident ont mis l'entreprise à la faillite.

Recherché: sécurité de prochaine génération

Un certain nombre de propositions ont été faites pour résoudre les problèmes de sécurité entourant les certificats.

Il y a convergence. Il permet à un navigateur d'obtenir une seconde opinion sur un certificat d'une source choisie par un utilisateur. «C'est une idée brillante, mais dès que vous entrez dans un réseau d'entreprise et que vous êtes derrière un proxy ou derrière un traducteur de réseau, cela peut casser», a déclaré Chet Wisniewski, conseiller en sécurité chez Sophos. > Il y a DNSSEC. Il utilise le système de résolution des noms de domaine (le système qui transforme les noms communs de sites Web en nombres) pour créer un lien de confiance entre l'utilisateur et le site Web. Non seulement le système n'est pas facile à comprendre, mais sa mise en œuvre pourrait prendre des années.

«Le problème avec DNSSEC est qu'il faut implémenter une nouvelle technologie et une mise à niveau coordonnée de l'infrastructure avant de pouvoir en profiter», a déclaré Wisniewski. «Avec les taux d'adoption que nous avons connus jusqu'à maintenant, cela signifie que nous n'aurons pas de solution en place avant dix ou quinze ans, ce qui n'est pas suffisant.»

Deux techniques de «pinning» sont également proposées: Extension pour HTTP et les assertions de confiance pour les clés de certificat (TACK), qui sont similaires.

Elles permettent à un site Web de modifier un en-tête HTTP pour identifier les autorités de certification auxquelles il fait confiance. Un navigateur stocke ces informations et n'établit une connexion à un site Web que s'il reçoit un certificat signé par une autorité de certification approuvée par le site Web.

Les propositions d'épinglage sont les plus susceptibles d'être adoptées pour résoudre le problème du certificat, selon Wisniewski. "Ils pourraient être adoptés rapidement", a-t-il déclaré. "Ils permettent aux personnes qui veulent profiter de la sécurité avancée de le faire tout de suite, mais cela ne casse aucun navigateur Web existant qui n'est pas mis à jour."

Quel que soit le système adopté par les navigateurs fais le vite. Sinon, snafus continuera de proliférer et la confiance sur Internet pourrait être irrémédiablement compromise.