Sécurité - Les autorités de certification ont une semaine pour auditer leur système informatique et mettre en place des mesures pour renforcer la sécurité du processus de création de certificats électroniques. Sinon ? A défaut, les autorités pourraient être révoquées de Firefox, un coup dur financier pour elles.
Après deux alertes majeures en l’espace de quelques mois, Mozilla s’efforce de mettre la pression sur les autorités de certification. Après le piratage en mars dernier de Comodo, l’éditeur de Firefox avait déjà haussé le ton, demandant notamment aux sociétés délivrant des certificats de s’engager sur des bonnes pratiques et d’abandonner l’algorithme MD5.
Peine perdue ? Peut-être puisqu’en août c’est DigiNotar, une autorité de certification, pourtant filiale d’une société spécialisée dans la sécurité informatique, qui a été piratée. Conséquence : un nombre non identifié de certificats ont été frauduleusement créés (il y en aurait plus de 500).
Audit et mesures de sécurité à déployer ou confirmer
Mozilla tente donc une nouvelle fois de responsabiliser les autorités de certification, au travers d’un ultimatum. Ces dernières ont ainsi jusqu’au 16 septembre pour entreprendre des actions en matière de sécurité et communiquer à l’éditeur leurs procédures dans ce domaine.
En tout, Mozilla définit cinq points sur lesquels les autorités de certification doivent fournir des éléments. Première mesure : auditer leurs systèmes, en particulier leur PKI afin de rechercher toute trace d’intrusion.
Désignée comme victime par le hacker présumé de Comodo et de DigiNotar, la société GlobalSign a déjà annoncé qu’elle suspendait l’émission de certificats et auditait son système d’information. Concernant DigiNotar, c’est un ensemble de négligences et d’insuffisances en termes de sécurité qui ont permis au pirate de réussir son intrusion.
Mozilla demande également aux autorités de confirmer qu’elles ont bien mis en place un système d’authentification multifacteur sur les comptes sensibles (ceux associés directement à la délivrance de certificats).
Une révocation de Firefox financièrement lourde pour une autorité
Surtout, Mozilla demande aux autorités de prendre des mesures renforcées pour les certificats associés à des domaines majeurs (par exemple les services de messagerie les plus populaires), dont ceux directement visés dans les attaques contre DigiNotar et Comodo.
Un ultimatum donc, mais à quelles sanctions s’exposent réellement les sociétés en cas de non-conformité ? Les mesures de rétorsion ne sont pas clairement énoncées. Toutefois, la lettre adressée par Mozilla laisse entendre que le certificat Root des mauvais élèves pourrait être révoqué.
En clair, comme pour DigiNotar, tous les certificats signés par ces autorités ne seraient plus considéré comme étant de confiance. Le navigateur afficherait alors un message de sécurité avertissant l’utilisateur d’un danger.
http://www.zdnet.fr/actualites/mozilla-lance-un-ultimatum-aux-autorites-de-certification-39763714.htm#xtor=EPR-100
Aucun commentaire:
Enregistrer un commentaire