Après les attaques récentes de plusieurs fournisseurs de certificats SSL, Mozilla fixe un ultimatum aux membres de son programme root. S'ils n'ont pas prouvé leur intégrité d'ici le 16 septembre, ils pourraient en être radiés.

Lors d’une navigation sécurisée en SSL, Mozilla, via Firefox et Thunderbird, est le dernier garant de cette sécurité auprès de ses utilisateurs. Cette sécurité a été mise à mal ces derniers jours avec l’attaque des fournisseurs de certificats SSL que sont DigiNotar, GlobalSign, StartCom et Comodo.

Ces attaques, revendiquées par un certain ComodoHacker sur PasteBin, ont consisté en la création de plus de 500 certificats frauduleux. 300 000 utilisateurs de Google en Iran auraient été touchés, et leurs comptes Gmail auraient été impactés. Le (les ?) hacker aurait également eu accès à des informations confidentielles comme des clés privées, des backups de serveurs et des données personnelles de clients, notamment chez StartCom.

Les fournisseurs de certificats ont réagis différemment. GlobalSign a arrêté de délivrer ses certificats le temps qu’un audit indépendant évalue les données qui auraient pu être compromises. Le fournisseur précise également qu’il est impossible que le pirate ait eu accès à ses clés qui sont générées hors-ligne, et qui restent hors-ligne. Il devrait réactiver ses services de création de certificats lundi. De son côté, la situation s’avère trop critique chez DigiNotar, dont les certificats ont été purement et simplement retirés des navigateurs de Mozilla, Google et Microsoft. Apple serait plus lent à réagir, alors que l’on trouve même la démarche pour supprimer le fournisseur manuellement de son navigateur sur le support de Mozilla.

Mozilla va même plus loin et fixe un ultimatum aux fournisseurs de certificats membres de son programme root. Ce programme rassemble différents fournisseurs de certificats normalement reconnus pour leur sérieux. La fondation les somme de fournir les preuves de leur intégrité avant le 16 septembre, sans quoi ils pourraient tout simplement en être radiés.

Ces menaces montrent la fragilité de certains maillons de la sécurité sur Internet et démontrent, si besoin en était, que s’assurer d’un Internet décentralisé et ouvert est la seule façon d’en assurer l’intégrité.

Partager sur les réseaux sociaux

Articles liés