A lire sur: http://www.lemondeinformatique.fr/actualites/lire-google-acheve-la-mise-a-jour-des-certificats-ssl-en-2048-bits-55749.html
Le 21 Novembre 2013
Pour renforcer la sécurité des ses connexions web, Google a mis moins de temps que prévu pour faire passer ses certificats SSL sur une clef RSA 2048 bits.
La mise à jour par Google des certificats 1024 bits vers un algorithme 2048 bits, annoncée en mai dernier, s'est achevée avec un mois d'avance sur le calendrier prévu. La firme de Mountain View peut commencer dès maintenant à livrer ses nouvelles clefs. Elles doivent rendre le piratage des connexions plus difficiles. Les experts, qui saluent ce travail, estiment que cette mise à jour n'affectera pas la performance des services de Google. Le passage au 2048 bits avait commencé quelques semaines avant les révélations de l'ancien consultant de la NSA, Edward Snowden. Elles ont permis de découvrir que le programme de lutte contre le terrorisme de l'agence américaine comprenait des opérations de surveillance à grande échelle sur le territoire américain et ailleurs dans le monde. Malgré ce décalage, Google a fait référence à l'affaire d'espionnage pour annoncer la fin de la mise à jour de ses clefs de cryptage. « L'abandon des clefs RAS 1024 bits concerne toute l'industrie et nous sommes heureux d'appuyer cet effort, en particulier depuis les préoccupations soulevées par la surveillance généralisée et d'autres formes d'intrusion non désirée mises en place par le gouvernement », a déclaré sur le blog de l'entreprise Dan Dulay, ingénieur en sécurité chez Google. C'est au mois d'octobre que Google aurait appris, dans un article publié par le Washington Post, que la NSA avait trouvé un moyen de contourner la sécurité de ses réseaux et ceux de Yahoo pour collecter des données sur les utilisateurs, provoquant sa colère. Google, comme d'autres entreprises, était sous pression et devait prouver qu'elle faisait tout ce qu'elle pouvait pour s'opposer légalement au zèle du gouvernement US et à ses actions de surveillance.
Le 1024 bits obsolète à partir du 1er janvier 2014
Cette mise à jour de sécurité de Google va dans le sens d'une initiative prise par l'industrie pour les sites web qui assurent des connexions SSL. Le protocole de sécurité est identifié par le sigle HTTPS dans les URL des sites protégés. « L'Institut National des Normes et de la Technologie, un organisme bénévole au service des autorités de certification, et le Forum CA/Browser qui représente les éditeurs de navigateur Web ont décidé que les certificats RSA de 1024 bits ne seraient plus valables à partir du 1er janvier 2014 », a déclaré Chris Grayson, analyste spécialisé dans la sécurité pour le cabinet-conseil Bishop Fox. Selon lui, « les utilisateurs finaux des produits et services de Google ne verront probablement aucune différence. Par contre, ils peuvent faire un peu plus confiance à Google en sachant que celui-ci a franchi une nouvelle étape dans l'amélioration de la sécurité de ses produits et services ».
En tant qu'autorité de certification intermédiaire - elle porte le nom de Google Internet Security - Google génère ses propres certificats. Selon les experts, « quand on double la longueur de la clé de cryptage, on multiplie le temps de décryptage par six ou sept ». Mais selon eux, les ordinateurs et les navigateurs d'aujourd'hui sont assez puissants pour gérer la charge de travail supplémentaire. « Les serveurs utilisés par Google et les postes de travail et les terminaux avec lesquels se connectent les utilisateurs finaux sont probablement assez puissants pour rendre imperceptible ce temps de décryptage supplémentaire, » a estimé Andrew Hay, directeur de la recherche en sécurité appliquée chez CloudPassage. Ces certificats plus forts protègent les connexions cryptées vers les sites de Google contre des attaques par force brute. Celles-ci consistent à tester systématiquement toutes les combinaisons de clés possibles jusqu'à trouver le code qui permettra de décrypter les données.
Réfréner les mauvaises pratiques des agences de renseignement
Avant les révélations sur la NSA, on disait que le craquage des clefs 1024 bits demandait trop de temps et trop de puissance de calcul pour être vraiment praticable. Cependant, des informations sur les capacités d'analyse cryptographique de la NSA ont prouvé que ces hypothèses ne tenaient pas la route. L'adoption par l'industrie de ce nouvel algorithme est sur la bonne voie. SSL Pulse, qui fait l'inventaire des implémentations SSL dans les sites web les plus populaires, a déclaré que sur 162 000 sites suivis, 96 % avaient migré vers le 2048 bits. Au mois de septembre, Symantec a prévenu que les navigateurs pourraient bloquer les sites qui n'auront pas respecté l'échéance du 1erjanvier 2014 et que les visiteurs seraient alertés quand les sites n'offrent pas ce niveau supérieur de sécurité. Au final, la lutte contre les mauvaises pratiques des agences américaines aura contribué à renforcer la sécurité contre les cyber-pirates.
Le 1024 bits obsolète à partir du 1er janvier 2014
Cette mise à jour de sécurité de Google va dans le sens d'une initiative prise par l'industrie pour les sites web qui assurent des connexions SSL. Le protocole de sécurité est identifié par le sigle HTTPS dans les URL des sites protégés. « L'Institut National des Normes et de la Technologie, un organisme bénévole au service des autorités de certification, et le Forum CA/Browser qui représente les éditeurs de navigateur Web ont décidé que les certificats RSA de 1024 bits ne seraient plus valables à partir du 1er janvier 2014 », a déclaré Chris Grayson, analyste spécialisé dans la sécurité pour le cabinet-conseil Bishop Fox. Selon lui, « les utilisateurs finaux des produits et services de Google ne verront probablement aucune différence. Par contre, ils peuvent faire un peu plus confiance à Google en sachant que celui-ci a franchi une nouvelle étape dans l'amélioration de la sécurité de ses produits et services ».
En tant qu'autorité de certification intermédiaire - elle porte le nom de Google Internet Security - Google génère ses propres certificats. Selon les experts, « quand on double la longueur de la clé de cryptage, on multiplie le temps de décryptage par six ou sept ». Mais selon eux, les ordinateurs et les navigateurs d'aujourd'hui sont assez puissants pour gérer la charge de travail supplémentaire. « Les serveurs utilisés par Google et les postes de travail et les terminaux avec lesquels se connectent les utilisateurs finaux sont probablement assez puissants pour rendre imperceptible ce temps de décryptage supplémentaire, » a estimé Andrew Hay, directeur de la recherche en sécurité appliquée chez CloudPassage. Ces certificats plus forts protègent les connexions cryptées vers les sites de Google contre des attaques par force brute. Celles-ci consistent à tester systématiquement toutes les combinaisons de clés possibles jusqu'à trouver le code qui permettra de décrypter les données.
Réfréner les mauvaises pratiques des agences de renseignement
Avant les révélations sur la NSA, on disait que le craquage des clefs 1024 bits demandait trop de temps et trop de puissance de calcul pour être vraiment praticable. Cependant, des informations sur les capacités d'analyse cryptographique de la NSA ont prouvé que ces hypothèses ne tenaient pas la route. L'adoption par l'industrie de ce nouvel algorithme est sur la bonne voie. SSL Pulse, qui fait l'inventaire des implémentations SSL dans les sites web les plus populaires, a déclaré que sur 162 000 sites suivis, 96 % avaient migré vers le 2048 bits. Au mois de septembre, Symantec a prévenu que les navigateurs pourraient bloquer les sites qui n'auront pas respecté l'échéance du 1erjanvier 2014 et que les visiteurs seraient alertés quand les sites n'offrent pas ce niveau supérieur de sécurité. Au final, la lutte contre les mauvaises pratiques des agences américaines aura contribué à renforcer la sécurité contre les cyber-pirates.
Article de Jean Elyan avec IDG NS
Aucun commentaire:
Enregistrer un commentaire