Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Symantec se sépare de certains de ses employés
Qui ont émis des certificats SSL Google de façon inappropriée

Le , par Stéphane le calme

0PARTAGES

3  0 
Les certificats SSL sont devenus une pratique courante dans la sécurisation des communications entre le serveur web et le navigateur, en général pour les transactions bancaires, le transfert de données et les informations de connexion comme les noms d’utilisateur et les mots de passe. D’ailleurs le SSL est récemment devenu une norme pour sécuriser l’utilisation de sites de réseaux sociaux.

C’est une Autorité de Certification (CA en anglais, un tiers de confiance permettant d’authentifier l’identité des correspondants),qui sera chargée de délivrer des certificats décrivant des identités numériques. Il y en a plusieurs de par le monde qui sont reconnus par les éditeurs de navigateurs, ces derniers leur faisant confiance pour délivrer des certificats à des clients. Parmi les CA figure Symantec, un fournisseur de solution de cyber sécurité qui est l’éditeur de la solution Norton Antivirus.

Vendredi dernier, Stephan Somogyi, ingénieur Google qui travaille sur le projet Certificate Transparency dont l’objectif est de procéder à un double contrôle des certificats SSL, a expliqué être tombé sur une série pré-certificats EV (Extended Validation) délivrés par Symantec pour les domaines google.com et www.google.com qui n’étaient ni demandés ni autorisés par Google. Ces certificats ont également été trouvés dans les journaux de DigiCert, une autorité de certification privée américaine qui délivre des certificats de sécurité X.509 pour protocole SSL.

Les certificats EV SSL offrent un niveau de confiance et une garantie supérieurs aux certificats SSL basiques dans la mesure où ils prouvent à vos visiteurs que votre identité et celle de votre organisation ont été vérifiées avec sérieux et qu'il ne s'agit pas d'un site malveillant ou plagié en affichant une barre d’adresse et un cadenas verts comme le montre cette capture d’écran.

Google a mis sur liste noire les certificats en question. Etant donné qu’ils ont été diffusés uniquement durant un jour, Google et Symantec ne pensent pas qu’ils aient pu être utilisés pour mener des attaques. Des pirates auraient pu en profiter pour mener des attaques de type man-in-the-middle afin d’intercepter les communications entre les utilisateurs et les services Google.

Suite à cet incident, Symantec a mené sa propre enquête et a diffusé ce communiqué : « nous avons appris ce mercredi qu’un petit nombre de certificats de contrôles a été émis de façon inappropriée en interne cette semaine pour trois domaines au cours des tests de produits. Tous ces certificats tests ainsi que les clés étaient sous notre contrôle et ont immédiatement été révoqués dès que nous avons découvert le problème. Il n’y a pas eu aucun impact direct sur lesdits domaines et cela n’a à aucun moment constitué un danger pour internet ».

« Bien que nos processus et nos approches soient fondées sur les meilleures pratiques de l'industrie que nous avons contribué à créer, nous avons immédiatement mis en place des processus et des contrôles techniques supplémentaires pour éliminer la possibilité d'une erreur humaine. Nous allons continuer à faire évoluer sans relâche ces meilleures pratiques pour garantir que jamais plus quelque chose comme ça ne se reproduise ».

« En outre, nous avons découvert que quelques employés exceptionnels, qui avaient passé avec succès nos formations strictes en matière de sécurité, ont échoué à suivre nos politiques. Malgré leurs bonnes intentions, cette incapacité à suivre nos politiques à conduit à leur licenciement après avoir passé en revue la question. Parce que vous comptez sur nous pour protéger le monde numérique, nous plaçons la barre au niveau du « compromis zéro » pour de telles infractions. En conséquence, c’était la seule chose qui pouvait être faite ».

« Bien que nous détestions perdre de précieux collègues, nous sommes le leader du secteur en matière de sécurité et il est impératif que nous maintenions les standards les plus élevés ».

Source: blog Google, blog Symantec

Et vous ?

Qu'en pensez-vous ?

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de vampirella
Membre éclairé https://www.developpez.com
Le 21/09/2015 à 14:28
Nous avons immédiatement mis en place des processus et des contrôles techniques supplémentaires.
[...]
Quelques employés exceptionnels [...] ont échoué à suivre nos politiques. Malgré leurs bonnes intentions, cette incapacité à suivre nos politiques à conduit à leur licenciement
Dans l'ensemble de la news, c'est sans doute ceci qui m'a le plus interpellé.
L'entreprise avoue que ses processus contenaient une petite faille laissant place à une erreur humaine. L'erreur est arrivée, plutôt que de remettre en question le management, mettre un avertissement ou tout simplement laisser une seconde chance, Symantec les licencie.
Je trouve cette attitude d'autant plus aberrante et déplorable que ce sont des employés "exceptionnels" d'après leurs dires.

C'est sans doute la meilleure publicité pour recruter chez eux !
"Venez à Symantec ! Vous êtes bien payé mais si vous faites une petite erreur ou ne suivez pas à la lettre notre politique interne, viré !"

Bref, manque de transparence totale de la part de Symantec.
3  1 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 26/03/2017 à 8:56
Certains commentaires sur la liste montrent que la mesure fait pas l'unanimité

I fail to see anything relevant you've said? Yes - we are all mad at Symantec, and random google vigilante-employees want to cause extreme pain and damage to that company: fair enough.

However: screwing over 30,000+ innocent bystanders IS NOT THE WAY TO DO IT.

The startcom issue was just one naughty certificate; the destruction of all startcom user websites (including mine) was a decision google made to punish startcom for lying about their business relationship with wosign. This severely hurt huge numbers of innocent bystanders again, caused irrevocable damage (no other CA offers unlimited wildcard SANs) and massive costs (startcom were 10x+ less expensive that the greedy big American CAs ripping us all of $millions for nothing more than a few DNS lookups and crypto operations).

I'm not supporting Symantec, and not supporting startcom either.

I'm asking that you figure out who the bad guy is, and stop punching us instead of them. The Google fist is a one-punch killer. Be ***responsible*** with how you wield that power. Execute just bad guy, don't commit genocide!!!
0  0 
Avatar de coolspot
Membre confirmé https://www.developpez.com
Le 27/03/2017 à 15:23
Et bien décidément ces dernières années que de scandale sur les certification SSL. Après le scandale StartSSL, voilà que Symantec aussi fais des truc pas très net. Etant un ancien utilisateur de StartSSL et ayant fais les frais des sanction de cette autorité de certification j'ai pu heuresement me tourner vers Let's Encrypt pour mon site web qui m'a sauvé la mise et ne pas me retrouver comme un cul sans certificat (ou devoir sortir le carnet de cheques).

Bref je pense qu'il faudrait revoir ce système d'autorité de certification. C'est trop opaque et quand on voit certain scandale qui ressorte on se demande bien ce qu'il peut y avoir sous le tapis

Je sais pas peut etre que les autorité de certification devrait être sous le contrôle de L'ONU et pas simplement des entreprises privées qui ont tout pouvoir.
0  0