Rififi entre Google et Symantec : le point sur les certificats en 7 questions
Une mise en garde de Google touchant aux certificats SSL édités par la société Symantec a fait un bruit certain dans la presse spécialisée. Que se passe-t-il vraiment ? Est-ce que vos certificats sont à risque ? SafeBrands répond à toutes ces questions et vous donne la marche à suivre.
1. Qu’est-ce que le SSL ?
Le certificat SSL, pour Secure Socket Layer est une couche de sécurité qui entoure les échanges entre le visiteur d’un site web et le serveur du site pour éviter les attaques par insertion (ou man in the middle). C’est devenu un élément clé de la sécurisation des sites web. La création d’un certificat atteste du lien juridique et technique entre la société qui exploite un site donné et le serveur sur lequel celui-ci est hébergé. Grâce à l’utilisation d’un certificat SSL, toutes les données sont transmises de façon sécurisées et chiffrées. Il existe plusieurs sortes de certificats en fonction des différents besoins de l’utilisateur mais toutes reposent sur ce principe.
2. Comment est attribué le certificat ?
Le principe du certificat SSL est d’authentifier la société qui l’utilise. Cette authentification est réalisée par une autorité de certification reconnue qui délivre les clés pour établir des connexions chiffrées afin de sécuriser les échanges avec l’entreprise. La procédure demande des démarches précises pour que l’entreprise qui délivre le certificat – Symantec par exemple – soit à même de certifier qu’il s’agit bien de la bonne entreprise et du bon serveur.
3. Comment un utilisateur peut-il vérifier que le certificat est bien présent ?
Au-delà de la sécurité technique qu’apporte le chiffrement des échanges, les certificats ont aussi un impact positif en termes de communication. La plupart des utilisateurs savent que le « petit cadenas » qui est présent en bas du navigateur signifie qu’ils accèdent à un site certifié ce qui leur donne un sentiment de sécurité.
Dans cette optique, l’apparition relativement récente de certificats « Let’s encrypt » qui vise la généralisation des certificats est une arme à double tranchant car elle permet aussi aux cybercriminels de se procurer un certificat « officiel » et d’apposer un cadenas parfaitement légitime sur un site contrefaisant.
C’est pourquoi il est aujourd’hui recommandé aux entreprises d’utiliser des certificats dits « EV » pour Extended Validation (Validation Etendue). Ceux-ci ont un coût, justement lié aux formalités de validation que l’autorité de certification accomplit avant de proposer un certificat : il s’agit souvent de démarches directes auprès de l’entreprise (appel téléphonique, envoi de documents…) pour lier strictement le certificat au site concerné. Ces démarches sont par ailleurs les seules qui permettent au site de bénéficier de la « barre verte » qui affiche la raison sociale de l’entreprise à côté de son nom de domaine, dans les navigateurs comme Safari ou Chrome.
4. Que reproche Google à Symantec ?
C’est l’équipe qui gère le navigateur Chrome au sein du moteur de recherche qui a ouvert les hostilités. Le problème vient justement du système de validation des certificats anciens qui manquait de rigueur, Chrome suspectant Symantec de les donner trop facilement et sans s’entourer des précautions nécessaires. D’abord limité à 127, le nombre atteindrait aujourd’hui 30 000 étalé sur plusieurs années, ce qui – d’après l’équipe de Chrome – « pousse Chrome à ne plus pouvoir accorder sa confiance aux règles et pratiques de Symantec […] entrainant un risque important pour les utilisateurs du navigateur ». Il faut noter que cette inquiétude n’est pas neuve puisque le navigateur s’émouvait déjà en octobre 2015.
5. Que dit Symantec ?
L’ironie n’échappera pas aux lecteurs réguliers de SafeBrands.info, l’activité certificats de Symantec provient en fait d’un rachat de celle-ci en 2010 à Verisign qui souhaitait se concentrer sur son activité de Registre. En 2015, Symantec détenait 30% du marché des certificats, la décision de Chrome a donc un impact majeur. Cependant, les dénégations de la société sont pour le moins vagues. Ainsi, la société qui prétend que les déclarations de Google sont « exagérées et trompeuses » ne conteste pas que 127 certificats aient été mal attribués. Elle prétend qu’aucun client n’aurait été affecté – ce qui reste compliqué à prouver – et qu’elle a pris des mesures drastiques pour enrayer le phénomène en dénonçant le contrat qui la liait avec le partenaire qui aurait délivré les certificats litigieux. Il semble que cela ne suffise pas à rassurer Google, et ce d’autant moins qu’un chercheur en sécurité a publié un article il y a quelques jours prétendant que l’interface de programmation de Symantec (API) a pu, dans certains cas de 2013 à 2016, être utilisée pour créer des certificats sans qu’aucune procédure de validation ne soit nécessaire.
Symantec prétend que l’erreur a été corrigée depuis, mais c’est bien la durée de vie des certificats qui est en cause : depuis une décision de 2015, ils doivent normalement expirer au bout de 39 mois, ce qui veut dire que certains sont encore valides, alors même que, sans validation, ils ne sont plus fiables.
6. La décision de Chrome s’applique-t-elle immédiatement ?
Non. Pour l’instant le projet est à l’étude et n’a été communiqué que sur un blog (officiel). Surtout, Chrome joue sur la durée de validité des certificats. Elle va faire expirer les certificats de Symantec plus vite, ce qui générera une erreur dans Chrome pour les utilisateurs navigant sur ces sites (le cadenas sera rouge et barré et une boite de dialogue indiquera que la protection n’est pas assurée). Bien sûr ces erreurs vont créer des inquiétudes auprès des utilisateurs, ce qui poussera la société à en recréer d’autres, cette fois validés correctement.
7. Dois-je changer de certificat ?
Seuls les certificats de Symantec sont concernés et, parmi ceux-ci, c’est la procédure de validation qui est en cause. La décision n’est pas finalisée, l’affaire reste donc à suivre. Cependant, Symantec « tient à rassurer ses clients sur son engagement à voir ses produits reconnus par les navigateurs, et ajoute qu’en cas de décision défavorable de Google, elle permettra la re-fabrication des certificats correspondant à la durée maximale imposée ».
Prestataire accrédité auprès de l’ensemble des fournisseurs de certificats du marché SafeBrands propose des certificats fiables et vérifiés adaptés à vos besoins. N’hésitez pas à prendre contact avec nos spécialistes pour toute question au +33 (1) 80 82 82 60 ou par notre formulaire de contact.