Aux grands maux, les grands remèdes. Google a annoncé mercredi l'exclusion provisoire dans ses produits des certificats de sécurité émis en Chine par le CNNIC (China Internet Network Information Center), l'agence administrative chinoise chargée de gérer la sécurité des réseaux. La décision a été prise par Google suite à la découverte d'une rupture dans la chaîne de confiance, après que des certificats frauduleux ont été émis au nom de l'organisme étatique.
CERTIFICATS FRAUDULEUX ET PROXY CURIEUX
L'affaire remonte au 20 mars. À cette date, Google découvre l'existence de certificats de sécurité frauduleux censés authentifier l'origine de plusieurs domaines appartenant pourtant à la firme américaine. Les documents électroniques ont en fait été délivrés par une autorité de certification intermédiaire détenue par une société privée, MCS Holdings. Située en Égypte, elle a été mandatée par le CNNIC pour "délivrer des certificats pour les domaines enregistrés par ses soins".
Pour une raison qui reste à éclaircir, au lieu d'utiliser la clé de chiffrement privée du certificat exclusivement dans un "module matériel de sécurité" (HSM), MCS Holdings l'aurait installée aussi dans un proxy de type "homme du milieu" — c'est-à-dire capable d'intercepter et déchiffrer les communications chiffrées sans que l'émetteur et le destinataire n'aient conscience que leur canal a été compromis. Google relève que les entreprises peuvent parfois utiliser ce type de proxy pour intercepter les communications sécurisées de leurs employées à des fins de surveillance, ou pour des considérations juridiques (voir à ce sujet les recommandations de l'ANSSI).
L'AUTORITÉ DU CNNIC PROVISOIREMENT ÉCARTÉE
Le problème, dans cette affaire, c'est que le proxy a aussi reçu les droits pour se faire passer pour une autorité de certification publique, "ce qui est une faille sérieuse dans le système des certificats de sécurité", commente l'entreprise américaine. Pour cette dernière, c'est clair : le CNNIC "a délégué son autorité à une organisation qui n'avait pas la capacité de l'assumer".
Lors de la prochaine mise à jour de Google Chrome, l'autorité du CNNIC ne sera donc plus reconnue dans les produits de Google. Mais la société ajoute que "pour aider les clients touchés par cette décision, elle va permettre pour un temps limité aux certificats existants du CNNIC de continuer à être identifiés comme étant de confiance dans Chrome, grâce à l'utilisation d'une liste blanche publique".
De son côté, le CNNIC a fait savoir que des nouvelles procédures vont être mises en place pour éviter la répétition d'un tel incident. Il est question de prendre en compte le processus de transparence des certificats (
pour les documents que l'autorité est susceptible d'émettre. Google explique qu'il lèvera l'exclusion du CNNIC dès que ces mesures seront mises en place.+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !