Jean-Yves Faurois, directeur technique de l'éditeur de sécurité Keynectis nous explique comment une telle attaque a pu être menée. Interview.
Un hack a récemment permis de dérober 9 certificats utilisés pour le mail Google, pour Yahoo, Skype ou encore Mozilla. Comment éviter ce type d'attaque ?
Tout est lié au mode de fonctionnement de Comodo qui favorise l'automatisation d'un certain nombre d'opérations, notamment l'interconnexion avec les revendeurs. Par exemple, nos partenaires qui se connectent sur notre site ne viennent pas avec des bouts de code car nous leur demandons de nous fournir des informations précises. Sont-ils habilités pour faire la demande de certificat, sur quels domaines...
Toute la question de la sécurité réside donc dans les contrôles manuels. Après ce qu'il faut savoir c'est qu'avec cette affaire, c'est l'industrie bas de gamme du certificat SSL qui a été piratée.
Cette attaque est donc le fait d'un manque de mesures contraignantes ? Dans sa revendication, le hacker estimait que certains pans du marché de la sécurité n'étaient pas... sécurisés.
Les besoins techniques d'abord mais aussi les besoins courants des consommateurs, avec la forte poussée du E-commerce, ont fait que le marché du SSL s'est développé tout seul. Pourtant, au départ, le but était que tout un chacun puisse sécuriser son trafic Internet.
Il faut aussi évoquer la course effrénée vers la réduction des coûts. Certains ont fait des recherches d'optimisation des coûts afin de proposer des certificats moins chers...
Sans mesures contraignantes dures, quelles sont les initiatives menées afin d'établir une meilleure gouvernance de cette partie de l'industrie de la sécurité ?
Il n'y a pas de volonté particulière d'encadrer le développement de ce marché. Par contre, le CAB forum (Certification Authority/Browser Forum) agit dans l'optique de réguler les conditions de délivrance des certificats serveurs. Il milite, par exemple, pour qu'un éditeur vérifie lui-même l'existence physique et juridique des entités qui font la demande de certificat. De même, dans notre cas, nous menons des audits afin de vérifier ces informations.
Toujours est-il que ce cas est une faillite du système, Comodo est quand même un acteur important. Que tout le monde ne soit pas au niveau nous amène à nous poser des questions sur la responsabilité de chacun.
Quelles sont les failles connues en matière de SSL, certains navigateurs ou OS seraient-ils de mauvais élèves ?
(rires) Précisément, certains systèmes d'exploitation ne vérifient pas la CRL ou l'OCSP (liste de révocation des certificats et les protocoles Internet utilisés pour valider, en temps réel, les certificats électroniques, ndr). Par exemple, Firefox ne vérifie pas systématiquement les CRL quel que soit l'OS utilisé, tout comme Chrome sous Linux. Enfin, Mac OS X ne vérifie pas non plus parfois la CRL et l'OCSP.
Ces manques ne doivent cependant pas cacher le fait que des efforts ont déjà été faits. Prenez la barre verte de certains navigateurs qui certifie la connexion d'un site d'achat en ligne, ce type d'outil est une bonne chose pour la compréhension de tous.