Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Venafi commente l’affaire Mozilla

octobre 2017 par Venafi

Mozilla envisage de désavouer l’autorité de certification de l’État néerlandais en raison des nouvelles dispositions législatives qui seront prises aux Pays-Bas l’an prochain. Kevin Bocek, VP Security Strategy chez Venafi commente :

"Comble de l’ironie, les autorités néerlandaises emboîtent le pas à ceux qui entendent revenir sur la confidentialité des données, et rejoignent la Chine et la Russie dans les opérations visant à éradiquer le chiffrement. Les Pays-Bas envisagent l’attribution de nouvelles prérogatives qui permettraient à l’organisme d’État en charge de l’émission des identités machines de fabriquer de faux certificats numériques. Ces certificats pourraient être utilisés avec n’importe quelle machine dans le monde — de Google à Amazon, et pas uniquement au sein de l’administration néerlandaise — soit un large éventail d’utilisations abusives en perspective !

L’ironie est d’autant plus amère que les Pays-Bas ont été contraints de revenir à l’ère du papier-crayon en 2011, lorsque leur émetteur officiel d’identités machines – DigiNotar – a été victime d’un piratage, mis à profit pour aider l’Iran à tromper les utilisateurs et à intercepter des communications privées. À l’époque, DigiNotar a généré des certificats frauduleux pour Google, Microsoft, Skype et plus de 500 autres machines et a été acculé à la faillite alors qu’il tentait de recoller les morceaux. On aurait donc pu penser que la leçon aurait été retenue.

C’est Mozilla qui mène le jeu ici et, si les autorités néerlandaises ne cèdent pas, d’autres navigateurs risquent fort de le suivre et de désavouer les certificats délivrés par les pouvoirs publics. Une autorité de certification qui émet des certificats numériques pour des machines pour lesquelles elle n’a pas obtenu d’autorisation constitue une menace pour la confidentialité des données, et pour la sécurité nationale. Raison pour laquelle Google et Mozilla ont révoqué les certificats émis par les autorités de certification chinoises CNNIC et WoSign, et l’administration américaine a sommé Apple, Microsoft et Google de répondre à sa missive. D’aucuns seront surpris d’apprendre que nos ordinateurs et appareils mobiles se fient à plusieurs centaines d’autorités de certification aux quatre coins du monde, dont le ministère américain de la Défense.

Voilà qui confirme, si besoin était, que les entreprises doivent être conscientes des utilisations malveillantes des certificats numériques. Certaines technologies, comme celles axées sur la transparence des certificats ou leur répudiation, livrent des informations sur les actions menées par les différents intervenants, des usurpateurs aux pouvoirs publics. Que plusieurs milliers de faux sites reposent sur des identités machines légitimes ou qu’un État émette des certificats pour intercepter des communications en démantelant le chiffrement, les entreprises ne peuvent se permettre d’être des observatrices passives.

Avec un peu de chance, les autorités néerlandaises reverront leurs positions et renonceront à faire voler en éclats le système de confiance qui sous-tend la confidentialité des données et le commerce sur Internet. Malheureusement, cet épisode nous rappelle que les « cryptowars » n’ont jamais véritablement cessé. Du Regulation of Investigatory Powers Act (RIPA) promulgué au Royaume-Uni en 2001 à la législation chinoise sur la cybersécurité de 2017, les États s’efforcent désespérément de prendre le contrôle du chiffrement."




Voir les articles précédents

    

Voir les articles suivants