Actu
CERT-XMCO : Certificats SSL, TrustWave et Mozilla : une confiance difficile à maintenir
février 2012 par CERT-XMCO
- Date : 08 Fevrier 2012
- Gravité : Elevée
- Description :
L’autorité de certification Trustwave a récemment reconnu avoir émis un certificat SSL correspondant à une autorité de certification intermédiaire pour un de ces clients souhaitant inspecter le contenu des flux chiffrés de ses employés. À l’aide de ce certificat, le client en question était ainsi en mesure de générer des certificats SSL valides pour l’ensemble des sites sur lesquels se rendaient ses employés, afin de surveiller leurs échanges.
Officiellement, le client de Trustwave souhaitait obtenir un tel certificat pour mettre en place, en interne et uniquement en interne, un système de DLP (Data Loss Prevention). Cependant, l’émission d’un tel certificat est associée à un risque élevé pour les Internautes. En effet, rien n’empêcherait en théorie le client d’émettre un nouveau certificat valide afin d’usurper l’identité d’un site Internet arbitraire, et d’en tirer parti sur Internet pour obtenir des informations sensibles appartenant aux Internautes.
Cette violation de la confiance faite par les internautes envers l’autorité de certification a poussé Mozilla à étudier la possibilité de supprimer le certificat racine de TrustWave de son trousseau de clefs. Cette mesure radicale aurait donc pour effet d’empêcher la navigation sur l’ensemble des sites dont l’identité est certifiée par Trustwave.
TrustWave se défend cependant d’avoir mal agit. Selon lui, le cadre imposé au client en question était trop restrictif pour qu’un risque réel puisse exister. L’autorité de certification avait en effet imposé que le certificat d’autorité intermédiaire soit stocké dans un HSM (Hardware Security Module) afin d’empêcher l’utilisation non contrôlée de sa clef privée. De plus, la société avait imposé des termes d’utilisation stricts tels que par exemple le fait que les employés du client soient informés de la mise en place d’un système de DLP, que l’ensemble des clefs rivées associées aux certificats forgés ne soit pas disponible à quiconque, ainsi que la réalisation d’audits de sécurité.
TrustWave a ajouté que le certificat d’autorité de certification intermédiaire en question avait été révoqué, et qu’elle n’avait jamais été amenée à émettre d’autres certifications similaires.
La décision de Mozilla ne semble pas encore prise, mais ce problème de confiance illustre parfaitement les différents problèmes soulevés au cours de l’année 2011 concernant l’écosystème SSL. La relation de confiance qui existe entre les autorités de certification, les internautes et les webmasters est particulièrement difficile à maintenir.
- Référence :
http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html
https://bugzilla.mozilla.org/show_bug.cgi?id=724929
- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0200
