Developpez.com

Le Club des Développeurs et IT Pro

Affaire DigiNotar : Mozilla fait pression sur les autorités de certification

Et exige l'audit complète de leur sécurité avant le 16 septembre

Le 2011-09-09 16:51:10, par Idelways, Expert éminent sénior
Toujours dans les répercussions de la récente intrusion dans les systèmes DigiNotar, la fondation Mozilla hausse le ton envers les autorités de certification après avoir été elle même victime de l'un des 500 certificats falsifiés par le hacker iranien ComodoHacker.

Dans une lettre ouverte urgente, Kathleen Wilson, responsable du module de certification de Firefox et Thunderbird, somme les autorités de certification d'auditer sérieusement en cinq volets dûment précisés, leurs systèmes de sécurité à la recherche de toute trace de compromission.

Sans s'étaler sur les répercussions en cas de manquement, Mozilla exige des 54 autorités qui participent à son programme root (certificat racine) un rapport par email avant le 16 septembre 2011, probablement sous peine de subir le même sort que le hollandais DigiNotar, radié des logiciels de la fondation jusqu'à nouvel ordre, pour manquement aux rudiments de la sécurité à cette échelle.

Les mesures que Mozilla attend incluent l'audit des Infrastructures à clés publiques (PKI), le passage au crible des systèmes de leurs ordinateurs et de ceux de leurs autorités de certification subsidiaires et autres autorités de régulation, à la poursuite de tout signe d'intrusion.

La fondation exige en outre la mise en place de sérieuses mesures de sécurité, comme un système de blocage automatique en cas d'intrusion et l'obligation de mettre en place une authentification multifacteur pour les comptes sensibles émetteurs de certificats.

À savoir que tous les certificats émis par une autorité révoquée du programme root de Mozilla, se verront rejetés sur Firefox et Thunderbird.

Source : lettre de Mozilla

Et vous ?

Que pensez-vous du message de la fondation Mozilla ?
Et des mesures de sécurité qu'elle exige ?
  Discussion forum
10 commentaires
  • z3d.web
    Membre à l'essai
    Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

    C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

    La communication avec votre banque est en cours de sécurisation....
    Hmm.. Waiting... A hacker need your information ! Will you give him ?
    No ?! Humm... absolute yes... I'm your Bank
    le 09/09/2011 à 22:52
  • thorium90
    Membre averti
    Complètement d'accord avec Mozilla, c'est tellement inadmissible de devoir douter de la viabilité de ce qui est censée être la source de notre confidentialité sur les aspects les plus délicats comme les transactions bancaires et autre.

    Mais bon après http://www.developpez.com/actu/29815...a-technologie/ et cette nouvelle attaque, ca promet etre telement !!! WOUAAAAWE !!! la prochaine attaque de ce type
    le 10/09/2011 à 1:25
  • transgohan
    Expert éminent
    Pourriez-vous avoir l’extrême amabilité, si vous possédez évidemment le temps d'accéder à notre requête, voire de nous lire, d'effectuer cet audit ?
    le 09/09/2011 à 20:37
  • GCSX_
    Membre confirmé
    Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...
    le 09/09/2011 à 21:04
  • Michaël
    Expert éminent
    C'est surtout que tu fais pas un audit complet + rapport en moins d'une semaine sur des systèmes aussi complexes...
    le 09/09/2011 à 22:46
  • Flaburgan
    Modérateur
    Envoyé par Neko
    Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
    Proposer son aide, donner des conseils oui, exiger non.
    Pour qui se prennent-ils ?
    Le client, la parole du net...

    Il faut bien que quelqu'un s'inquiète de ça, c'est la base même de l'Internet... Ils ont le mérite de montrer que ça inquiète.
    le 12/09/2011 à 10:04
  • Ce qui me fait surtout bien rire, c'est qui si jamais aucune de ces société ne répondait avant l'ultimatum, Mozilla devrait donc toutes les radier (apparament). Ils se retrouveraient donc sans aucun certificat racine et donc leurs logiciels ne pourraient plus fonctionner...
    ils prenent un risque qui pour eux est justifier pourquoi sa ferait rire vu qu'il son conscients de ce qu'il fonts ?
    le 09/09/2011 à 22:50
  • Neko
    Membre chevronné
    Envoyé par z3d.web
    Cela ne vous choque pas que les sociétés qui sont censées nous fournir les outils pour sécuriser nos communications, ne soit pas elles-même sécurisées ?

    C'est la toile entière et toute entité qui se retrouve touchée par cette affaire !

    La communication avec votre banque est en cours de sécurisation....
    Hmm.. Waiting... A hacker need your information ! Will you give him ?
    No ?! Humm... absolute yes... I'm your Bank
    Qui crois qu'un système peut être complètement sécurisé ne connais rien à la sécurité.
    Le mec qui a piraté DigiNotar a "contourné le module matériel de sécurité HSM sur le système d’exploitation OpenBSD ainsi que son gestionnaire de sécurité RSA et SafeSign Token pour accéder au système".
    Tu crois qu'un audit a priori aurait détecté que ce genre d'intrusion était possible ?
    le 10/09/2011 à 9:20
  • pilate
    Membre du Club
    Avec le hacker oui
    le 11/09/2011 à 23:03
  • Neko
    Membre chevronné
    Autant je suis d'accord avec le fait qu'un audit serait la moindre des choses. Autant voir des "Mozilla exige" et autre "Mozilla somme les autorités" heu.... pour qui ils se prennent au juste ?
    Proposer son aide, donner des conseils oui, exiger non.
    le 09/09/2011 à 19:45
  Poster une réponse