Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des certificats SSL non autorisés fragilisent la sécurité de Google
La firme met en garde les utilisateurs et bloque ceux-ci

Le , par Olivier Famien

0PARTAGES

4  0 
Google vient de détecter un ensemble de certificats non autorisés pour sa plateforme. L’annonce a été faite il y a quelques jours par Adam Langley sur le blog officiel de la firme consacré à la sécurité.

Les faits remontent au 20 mars dernier où le leader de la recherche sur le web a découvert la présence d’un ensemble de certificats numériques non autorisés délivrés pour plusieurs noms de domaine de sa plateforme. Ces certificats ont été délivrés par une autorité intermédiaire égyptienne dénommée MCS Holdings alors qu’elle n’en a pas le droit officiellement. CNNIC qui est l’autorité chinoise détentrice légale de ces certificats est l'autorité reconnue officiellement comme étant l'organisme de délivrance de ces certificats.

Le problème que cela soulève est que puisque MCS est une autorité intermédiaire, en délivrant ces certificats non autorisés, cela lui permettrait d’espionner les communications entre Google et les utilisateurs sur son réseau.

Concrètement, lorsque vous voulez vous connecter à la plateforme Google, vous envoyez une requête au serveur Google à partir de votre terminal. Cette requête est en fait un certificat de sécurité SSL pour établir une connexion sécurisée. Le serveur confirme l’authenticité de la clé et établit la connexion avec votre terminal. Lorsque le certificat est délivré par une autorité intermédiaire, cela peut favoriser une attaque de type homme du milieu par l’entreprise qui l’a délivré. Toutefois Google affirme que sa plateforme n’a pas été compromise. « Nous n’avons aucune indication d’abus et nous ne suggérons pas que les gens changent les mots de passe prennent d’autres mesures ».

Pour régler le problème, Google a immédiatement contacté CNNIC l’autorité légale de délivrance de certificats afin de révoquer son pouvoir de délivrance de certificats accordé à MCS. CNNIC a répondu en expliquant qu’un contrat a été signé entre les deux sociétés afin que MCS puisse délivrer des certificats intermédiaires pour les noms de domaines qu’elle détient.

Dans tous les cas, Google a bloqué ces certificats afin qu’ils ne puissent pas être utilisés pour se connecter à sa plateforme. Chrome et Firefox ont rejeté de fait les certificats non autorisés en utilisant le mécanisme de vérification des entités délivrant les certificats appelé public key pinning. Microsoft a également mis à jour sa liste de confiance des certificats en révoquant ceux détenus par MCS Holding.

Google rappelle à la lumière des récents évènements, l’importance de son projet certificate transparency qui permet de contrôler et vérifier les certificats SSL en temps réel.

Source : Blog Google

Et vous ?

Quel commentaire faites-vous de ce qui s’est passé ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 26/03/2015 à 15:25
La société en question explique ce qui s'est passé ici :
http://www.mcsholding.com/MCSResponse.aspx

MCS had received the Sub-ordinate certificate from CNNIC on mentioned date and started the test on same day inside MCS lab which is a protected environment, MCS had assured to store the private key in a FIPS compliant device (Firewall), to run the test which had started with no incidents on Thursday, and for the sack of unintentional action the Firewall had an active policy to act as SSL forward proxy with an automatic generation for a certificates for browsed domains on the internet, which had been taken place on a weekend time (Friday, and Saturday) during unintentional use from one of the IT Engineers for a browsing the internet using Google Chrome which had reported a miss-use at Google’s End.

MCS had deleted the certificate immediately from the firewall once gotten notified by CNNIC for the incident, at same time, MCS had submitted an incident report to CNNIC and all the concerned parties on the same day of notification.

MCS confirms that the reported issue is a human mistake that took place unintentionally through a single PC inside MCS Lab which had been dedicated for testing purposes. Quoting google spokesman, confirms: "We have no indication of abuse, and we are not suggesting that people change passwords or take other action". Claims by some public reports are inconsistent with statement by Google spokesman for abuse or spying activity for any traffic: “Google does not, however, believe the certificates were used for that purpose”. As stated by Google spokesman.
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 03/04/2015 à 17:25
ça devrait donner une leçon aux chinois qui on tendance à tout faire pour le fric et rien pour la sécurité
0  0 
Avatar de foreme1
Candidat au Club https://www.developpez.com
Le 04/04/2015 à 13:15
Je n'ai rien contre les chinois, mais contre leurs gouvernants corrompus si.

La securite en informatique est une chose essentielle. Et des mesures radicales s'imposaient.
0  0