Mozilla envisage de révoquer les certificats issus par une CA sous la houlette du gouvernement néerlandais
Suite à un changement dans la loi locale

Le , par Stéphane le calme, Chroniqueur Actualités
Les ingénieurs de Mozilla envisagent de supprimer le support d'un fournisseur TLS / HTTPS néerlandais exploité par l'État après que le gouvernement néerlandais a voté une nouvelle loi autorisant les autorités locales à intercepter les communications Internet à l'aide de « fausses clés ».

Si le plan venait à être approuvé, alors Firefox ne fera plus confiance aux certificats émis par l'autorité de certification (AC) Staat der Nederlanden (État des Pays-Bas). Cette autorité est gérée par PKIOverheid / Logius, une division du ministère de l'Intérieur et des Relations du Royaume, qui est le même ministère qui supervise le service de renseignement de l'AIVD.

À ce propos, Christ Van Pelt, qui a rapporté ce problème, il y a quelques semaines déjà, a indiqué que « La nouvelle "Wet op de inlichtingen- en veiligheidsdiensten (Wiv)" (loi sur les services de renseignement et de sécurité) a été acceptée par le gouvernement néerlandais. Des dispositions autorisant de nouveaux pouvoirs pour les services de renseignement et de sécurité néerlandais seront mises en place à partir du 1er janvier 2018.

« Cette révision de la loi permettra au renseignement et à la sécurité d'intercepter et d'analyser le trafic (Internet) relié par câble et comprendra des autorisations de grandes portées, y compris des attaques techniques dissimulées, pour faciliter leur accès au trafic crypté.

« L'article 45, paragraphe 1, point b), autorise explicitement l'utilisation de “fausses clés” dans des systèmes tiers pour obtenir l'accès aux systèmes et aux données. »

En clair, cette nouvelle loi confère aux autorités néerlandaises le pouvoir d'intercepter et d'analyser le trafic Internet. Alors que d'autres pays ont des lois similaires, ce qui rend cette dernière spéciale, c'est que les autorités seront autorisées à mener des attaques techniques secrètes pour accéder au trafic chiffré.

De telles capacités techniques dissimulées incluent l'utilisation de « fausses clés », un terme général qui inclut les certificats TLS.

Mozilla craint que les autorités néerlandaises délivrent des certificats par le biais de son autorité de certification locale qui leur permettra de mettre en place des proxies SSL pour mener des attaques Man-in-the-Middle (MitM) sur tous les utilisateurs tombant dans les mailles du filet d’une opération de surveillance Internet.

En n’accordant plus sa confiance à ces certificats, Firefox entravera ainsi les tentatives d'interception en affichant des erreurs de certificat SSL pour ces connexions, attirant ainsi l'attention des utilisateurs sur le fait que quelque chose pourrait se produire.

Aussi, la conclusion de Chris van Pelt a été sans appel : « Il faut révoquer la confiance que nous avons en l’autorité de certification Staat der Nederlanden. Permettre au ministère de l'Intérieur et des Relations du Royaume de continuer à exploiter une autorité de certification dans un pays hébergeant un important point de transit Internet serait préjudiciable à la sécurité de tous les utilisateurs de Mozilla. »

Source : BugZilla


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 06/11/2017 à 10:36
Les autres pays qui n'ont pas acté dans leurs lois ce genre de procédure ne peuvent donc pas le faire .
Ouf nous sommes sauvés !
Sérieusement, le https et autres vpn sont justes utiles pour pas ne se faire espionner par le voisin, ou sur un réseau local. A plus haut niveau, c'est du vent.
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 06/11/2017 à 14:44
C'est juste que les autres pays n'ont pas officiellement sous leurs ordres une autorité de certification qui peut délivrer des certificats.

Mais bon... Ça me semble pas très compliqué de débarquer vers une entreprise locale de certification et de leur expliquer que maintenant ils vont délivrer des certificats de la façon citée et plus comme avant, en effet .

Une différence notable toutefois, c'est que dans un tel pays où les autorités font ça dans le dos des usagers, les employés qui reçoivent ces nouvelles directives sont au courant qu'elles ne sont pas recevables. Illégales ou carrément anticonstitutionnelles. Et il y a des chances pour que ça ne leur plaise pas trop et qu'ils en parlent. Personne ne peut légalement leur reprocher quoi que ce soit s'ils le font (leur reprocher illégalement est une autre histoire.) Alors que dans un pays où la loi est votée et que cela est légal, eh bien les employés ont choisi leur métier et leur poste, et il ne leur reste plus qu'à faire le travail légal qui leur est demandé. Il peut toujours leur venir l'envie de parler, mais ils sont tenus non seulement par le secret professionel mais aussi d'état. La loi a été votée, et l'état a toute légitimité à faire payer très cher la trahison sans se cacher.
Contacter le responsable de la rubrique Accueil