Après les attaques récentes de plusieurs fournisseurs de certificats SSL, Mozilla fixe un ultimatum aux membres de son programme root. S’ils n’ont pas prouvé leur intégrité d’ici le 16 septembre, ils pourraient en être radiés.

Lors d’une navigation sécurisée en SSL, Mozilla, via Firefox et Thunderbird, est le dernier garant de cette sécurité auprès de ses utilisateurs. Cette sécurité a été mise à mal ces derniers jours avec l’attaque des fournisseurs de certificats SSL que sont DigiNotar, GlobalSign, StartCom et Comodo.

Ces attaques, revendiquées par un certain ComodoHacker sur PasteBin, ont consisté en la création de plus de 500 certificats frauduleux. 300 000 utilisateurs de Google en Iran auraient été touchés, et leurs comptes Gmail auraient été impactés. Le (les ?) hacker aurait également eu accès à des informations confidentielles comme des clés privées, des backups de serveurs et des données personnelles de clients, notamment chez StartCom.

Les fournisseurs de certificats ont réagis différemment. GlobalSign a arrêté de délivrer ses certificats le temps qu’un audit indépendant évalue les données qui auraient pu être compromises. Le fournisseur précise également qu’il est impossible que le pirate ait eu accès à ses clés qui sont générées hors-ligne, et qui restent hors-ligne. Il devrait réactiver ses services de création de certificats lundi. De son côté, la situation s’avère trop critique chez DigiNotar, dont les certificats ont été purement et simplement retirés des navigateurs de Mozilla, Google et Microsoft. Apple serait plus lent à réagir, alors que l’on trouve même la démarche pour supprimer le fournisseur manuellement de son navigateur sur le support de Mozilla.

Mozilla va même plus loin et fixe un ultimatum aux fournisseurs de certificats membres de son programme root. Ce programme rassemble différents fournisseurs de certificats normalement reconnus pour leur sérieux. La fondation les somme de fournir les preuves de leur intégrité avant le 16 septembre, sans quoi ils pourraient tout simplement en être radiés.

Ces menaces montrent la fragilité de certains maillons de la sécurité sur Internet et démontrent, si besoin en était, que s’assurer d’un Internet décentralisé et ouvert est la seule façon d’en assurer l’intégrité.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !