Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL
La filiale d'Alphabet a décidé de prendre des mesures

Le , par Stéphane le calme, Chroniqueur Actualités
En 2015, Stephan Somogyi, ingénieur Google qui travaille sur le projet Certificate Transparency dont l’objectif est de procéder à un double contrôle des certificats SSL, a expliqué être tombé sur une série de précertificats EV (Extended Validation) délivrés par Symantec pour les domaines google.com et www.google.com qui n’étaient ni demandés ni autorisés par Google. Ces certificats ont également été trouvés dans les journaux de DigiCert, une autorité de certification privée américaine qui délivre des certificats de sécurité X.509 pour protocole SSL.

Google a mis sur liste noire les certificats en question. Suite à cet incident, Symantec a mené sa propre enquête et a diffusé un communiqué où il affirmait « qu’un petit nombre de certificats de contrôles a été émis de façon inappropriée en interne cette semaine pour trois domaines au cours des tests de produits. Tous ces certificats tests ainsi que les clés étaient sous notre contrôle et ont immédiatement été révoqués dès que nous avons découvert le problème ».

Symantec avait alors décidé de se séparer de « quelques employés exceptionnels, qui avaient passé avec succès nos formations strictes en matière de sécurité et ont échoué à suivre nos politiques ». L’entreprise évoquait le « compromis zéro » pour de telles infractions : « bien que nous détestions perdre de précieux collègues, nous sommes le leader du secteur en matière de sécurité et il est impératif que nous maintenions les standards les plus élevés ».

Deux ans plus tard, en janvier 2017, Google avait à nouveau pointé du doigt Symantec, ou plus exactement trois autorités de certification liées à Symantec, pour avoir émis 108 certificats TLS invalides.

Sur un forum, Ryan Sleevi, un ingénieur logiciel de l'équipe Google Chrome, s’est chargé d’expliquer l’évolution de cette affaire et les décisions prises par Google. « Depuis le 19 janvier, l’équipe de Google Chrome enquête sur des dysfonctionnements de la part de Symantec Corporation pour valider correctement les certificats. Au cours de cette enquête, les réponses fournies par Symantec ont montré un nombre croissant d’erreurs sur chaque question posée par l’équipe Google Chrome. Un ensemble initial de 127 certificats avait bénéficié d’une extension de validité et a permis l’émission d’au moins 30 000 certificats pendant plusieurs années. Mais avec les évènements du début d’année », a expliqué l’ingénieur.

En juxtaposant cette conclusion aux évènements qui se sont produits avant, les ingénieurs ont indiqué que « nous n’avons plus confiance dans les politiques d’émissions et des pratiques de Symantec concernant les certificats au cours de dernières années ».

Selon les ingénieurs, Symantec n’a pas respecté les principes de contrôle de validation qui incombent aux autorités de certification et a, de ce fait, créé un risque pour les utilisateurs Chrome. Pire encore « malgré la connaissance de ces problèmes, Symantec n'a pas réussi à les divulguer proactivement. De plus, même après que ces problèmes sont devenus publics, Symantec n'a pas fourni les informations dont la communauté avait besoin pour évaluer l'importance de ces problèmes jusqu'à ce qu'ils aient été spécifiquement remis en question ».

Même si l’ingénieur rappelle qu’en janvier 2015, les certificats TLS émis par Symantec représentaient 30 % du volume des certificats sur Internet, Google a quand même décidé d’appliquer des sanctions pour rétablir la confiance qui est désormais brisée. Symantec verra notamment :
  • une réduction de la période de validité acceptée des nouveaux certificats émis par Symantec à neuf mois ou moins, afin de minimiser tout impact sur les utilisateurs Google Chrome de tout autre malentendu qui pourrait survenir ;
  • une méfiance incrémentielle, englobant une série de versions de Google Chrome, de tous les certificats Symantec actuellement émis, exigeant qu'ils soient revalidés et remplacés ;
  • la suppression de la reconnaissance du statut de validation étendue des certificats délivrés par Symantec, jusqu'à ce que la communauté puisse avoir à nouveau confiance aux politiques et pratiques de Symantec, mais pas avant un an.

Dans l’agenda proposé par les ingénieurs, Chrome 59 va limiter la date d’expiration à 33 mois à leur émission (1023 jours), dans Chrome 64 ce délai sera de 9 mois (279 jours).

Source : Google


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de _skip _skip - Expert éminent https://www.developpez.com
le 26/03/2017 à 8:56
Certains commentaires sur la liste montrent que la mesure fait pas l'unanimité

I fail to see anything relevant you've said? Yes - we are all mad at Symantec, and random google vigilante-employees want to cause extreme pain and damage to that company: fair enough.

However: screwing over 30,000+ innocent bystanders IS NOT THE WAY TO DO IT.

The startcom issue was just one naughty certificate; the destruction of all startcom user websites (including mine) was a decision google made to punish startcom for lying about their business relationship with wosign. This severely hurt huge numbers of innocent bystanders again, caused irrevocable damage (no other CA offers unlimited wildcard SANs) and massive costs (startcom were 10x+ less expensive that the greedy big American CAs ripping us all of $millions for nothing more than a few DNS lookups and crypto operations).

I'm not supporting Symantec, and not supporting startcom either.

I'm asking that you figure out who the bad guy is, and stop punching us instead of them. The Google fist is a one-punch killer. Be ***responsible*** with how you wield that power. Execute just bad guy, don't commit genocide!!!
Avatar de coolspot coolspot - Membre confirmé https://www.developpez.com
le 27/03/2017 à 15:23
Et bien décidément ces dernières années que de scandale sur les certification SSL. Après le scandale StartSSL, voilà que Symantec aussi fais des truc pas très net. Etant un ancien utilisateur de StartSSL et ayant fais les frais des sanction de cette autorité de certification j'ai pu heuresement me tourner vers Let's Encrypt pour mon site web qui m'a sauvé la mise et ne pas me retrouver comme un cul sans certificat (ou devoir sortir le carnet de cheques).

Bref je pense qu'il faudrait revoir ce système d'autorité de certification. C'est trop opaque et quand on voit certain scandale qui ressorte on se demande bien ce qu'il peut y avoir sous le tapis

Je sais pas peut etre que les autorité de certification devrait être sous le contrôle de L'ONU et pas simplement des entreprises privées qui ont tout pouvoir.
Offres d'emploi IT
Consultant / ingénieur bi
Finelog - Ile de France - Ile de France
Data ingénieur F/H
Zenika - Nord Pas-de-Calais - Lille (59000)
Ingénieur sécurité du SI (H/F)
Atos - Ile de France - Bezons (95870)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil