Google a mis sur liste noire les certificats en question. Suite à cet incident, Symantec a mené sa propre enquête et a diffusé un communiqué où il affirmait « qu’un petit nombre de certificats de contrôles a été émis de façon inappropriée en interne cette semaine pour trois domaines au cours des tests de produits. Tous ces certificats tests ainsi que les clés étaient sous notre contrôle et ont immédiatement été révoqués dès que nous avons découvert le problème ».
Symantec avait alors décidé de se séparer de « quelques employés exceptionnels, qui avaient passé avec succès nos formations strictes en matière de sécurité et ont échoué à suivre nos politiques ». L’entreprise évoquait le « compromis zéro » pour de telles infractions : « bien que nous détestions perdre de précieux collègues, nous sommes le leader du secteur en matière de sécurité et il est impératif que nous maintenions les standards les plus élevés ».
Deux ans plus tard, en janvier 2017, Google avait à nouveau pointé du doigt Symantec, ou plus exactement trois autorités de certification liées à Symantec, pour avoir émis 108 certificats TLS invalides.
Sur un forum, Ryan Sleevi, un ingénieur logiciel de l'équipe Google Chrome, s’est chargé d’expliquer l’évolution de cette affaire et les décisions prises par Google. « Depuis le 19 janvier, l’équipe de Google Chrome enquête sur des dysfonctionnements de la part de Symantec Corporation pour valider correctement les certificats. Au cours de cette enquête, les réponses fournies par Symantec ont montré un nombre croissant d’erreurs sur chaque question posée par l’équipe Google Chrome. Un ensemble initial de 127 certificats avait bénéficié d’une extension de validité et a permis l’émission d’au moins 30 000 certificats pendant plusieurs années. Mais avec les évènements du début d’année », a expliqué l’ingénieur.
En juxtaposant cette conclusion aux évènements qui se sont produits avant, les ingénieurs ont indiqué que « nous n’avons plus confiance dans les politiques d’émissions et des pratiques de Symantec concernant les certificats au cours de dernières années ».
Selon les ingénieurs, Symantec n’a pas respecté les principes de contrôle de validation qui incombent aux autorités de certification et a, de ce fait, créé un risque pour les utilisateurs Chrome. Pire encore « malgré la connaissance de ces problèmes, Symantec n'a pas réussi à les divulguer proactivement. De plus, même après que ces problèmes sont devenus publics, Symantec n'a pas fourni les informations dont la communauté avait besoin pour évaluer l'importance de ces problèmes jusqu'à ce qu'ils aient été spécifiquement remis en question ».
Même si l’ingénieur rappelle qu’en janvier 2015, les certificats TLS émis par Symantec représentaient 30 % du volume des certificats sur Internet, Google a quand même décidé d’appliquer des sanctions pour rétablir la confiance qui est désormais brisée. Symantec verra notamment :
- une réduction de la période de validité acceptée des nouveaux certificats émis par Symantec à neuf mois ou moins, afin de minimiser tout impact sur les utilisateurs Google Chrome de tout autre malentendu qui pourrait survenir ;
- une méfiance incrémentielle, englobant une série de versions de Google Chrome, de tous les certificats Symantec actuellement émis, exigeant qu'ils soient revalidés et remplacés ;
- la suppression de la reconnaissance du statut de validation étendue des certificats délivrés par Symantec, jusqu'à ce que la communauté puisse avoir à nouveau confiance aux politiques et pratiques de Symantec, mais pas avant un an.
Dans l’agenda proposé par les ingénieurs, Chrome 59 va limiter la date d’expiration à 33 mois à leur émission (1023 jours), dans Chrome 64 ce délai sera de 9 mois (279 jours).
Source : Google