Les ingénieurs de Mozilla envisagent de supprimer le support d'un fournisseur TLS / HTTPS néerlandais exploité par l'État après que le gouvernement néerlandais a voté une nouvelle loi autorisant les autorités locales à intercepter les communications Internet à l'aide de « fausses clés ».
Si le plan venait à être approuvé, alors Firefox ne fera plus confiance aux certificats émis par l'autorité de certification (AC) Staat der Nederlanden (État des Pays-Bas). Cette autorité est gérée par PKIOverheid / Logius, une division du ministère de l'Intérieur et des Relations du Royaume, qui est le même ministère qui supervise le service de renseignement de l'AIVD.
À ce propos, Christ Van Pelt, qui a rapporté ce problème, il y a quelques semaines déjà, a indiqué que « La nouvelle "Wet op de inlichtingen- en veiligheidsdiensten (Wiv)" (loi sur les services de renseignement et de sécurité) a été acceptée par le gouvernement néerlandais. Des dispositions autorisant de nouveaux pouvoirs pour les services de renseignement et de sécurité néerlandais seront mises en place à partir du 1er janvier 2018.
« Cette révision de la loi permettra au renseignement et à la sécurité d'intercepter et d'analyser le trafic (Internet) relié par câble et comprendra des autorisations de grandes portées, y compris des attaques techniques dissimulées, pour faciliter leur accès au trafic crypté.
« L'article 45, paragraphe 1, point b), autorise explicitement l'utilisation de “fausses clés” dans des systèmes tiers pour obtenir l'accès aux systèmes et aux données. »
En clair, cette nouvelle loi confère aux autorités néerlandaises le pouvoir d'intercepter et d'analyser le trafic Internet. Alors que d'autres pays ont des lois similaires, ce qui rend cette dernière spéciale, c'est que les autorités seront autorisées à mener des attaques techniques secrètes pour accéder au trafic chiffré.
De telles capacités techniques dissimulées incluent l'utilisation de « fausses clés », un terme général qui inclut les certificats TLS.
Mozilla craint que les autorités néerlandaises délivrent des certificats par le biais de son autorité de certification locale qui leur permettra de mettre en place des proxies SSL pour mener des attaques Man-in-the-Middle (MitM) sur tous les utilisateurs tombant dans les mailles du filet d’une opération de surveillance Internet.
En n’accordant plus sa confiance à ces certificats, Firefox entravera ainsi les tentatives d'interception en affichant des erreurs de certificat SSL pour ces connexions, attirant ainsi l'attention des utilisateurs sur le fait que quelque chose pourrait se produire.
Aussi, la conclusion de Chris van Pelt a été sans appel : « Il faut révoquer la confiance que nous avons en l’autorité de certification Staat der Nederlanden. Permettre au ministère de l'Intérieur et des Relations du Royaume de continuer à exploiter une autorité de certification dans un pays hébergeant un important point de transit Internet serait préjudiciable à la sécurité de tous les utilisateurs de Mozilla. »
Source : BugZilla
Mozilla envisage de révoquer les certificats issus par une CA sous la houlette du gouvernement néerlandais
Suite à un changement dans la loi locale
Mozilla envisage de révoquer les certificats issus par une CA sous la houlette du gouvernement néerlandais
Suite à un changement dans la loi locale
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !