Google a annoncé que les certificats de sécurité émis par l'autorité chinoise ne seraient plus considérés comme fiables par ses produits, en particulier Chrome. La décision qui ne sera que provisoire a été prise après la découverte d'une exploitation frauduleuse de la clé de chiffrement. Explications.

Aux grands maux, les grands remèdes. Google a annoncé mercredi l'exclusion provisoire dans ses produits des certificats de sécurité émis en Chine par le CNNIC (China Internet Network Information Center), l'agence administrative chinoise chargée de gérer la sécurité des réseaux. La décision a été prise par Google suite à la découverte d'une rupture dans la chaîne de confiance, après que des certificats frauduleux ont été émis au nom de l'organisme étatique.

CERTIFICATS FRAUDULEUX ET PROXY CURIEUX

L'affaire remonte au 20 mars. À cette date, Google découvre l'existence de certificats de sécurité frauduleux censés authentifier l'origine de plusieurs domaines appartenant pourtant à la firme américaine. Les documents électroniques ont en fait été délivrés par une autorité de certification intermédiaire détenue par une société privée, MCS Holdings. Située en Égypte, elle a été mandatée par le CNNIC pour "délivrer des certificats pour les domaines enregistrés par ses soins".

Pour une raison qui reste à éclaircir, au lieu d'utiliser la clé de chiffrement privée du certificat exclusivement dans un "module matériel de sécurité" (HSM), MCS Holdings l'aurait installée aussi dans un proxy de type "homme du milieu" — c'est-à-dire capable d'intercepter et déchiffrer les communications chiffrées sans que l'émetteur et le destinataire n'aient conscience que leur canal a été compromis. Google relève que les entreprises peuvent parfois utiliser ce type de proxy pour intercepter les communications sécurisées de leurs employées à des fins de surveillance, ou pour des considérations juridiques (voir à ce sujet les recommandations de l'ANSSI).

L'AUTORITÉ DU CNNIC PROVISOIREMENT ÉCARTÉE

Le problème, dans cette affaire, c'est que le proxy a aussi reçu les droits pour se faire passer pour une autorité de certification publique, "ce qui est une faille sérieuse dans le système des certificats de sécurité", commente l'entreprise américaine. Pour cette dernière, c'est clair : le CNNIC "a délégué son autorité à une organisation qui n'avait pas la capacité de l'assumer".

Lors de la prochaine mise à jour de Google Chrome, l'autorité du CNNIC ne sera donc plus reconnue dans les produits de Google. Mais la société ajoute que "pour aider les clients touchés par cette décision, elle va permettre pour un temps limité aux certificats existants du CNNIC de continuer à être identifiés comme étant de confiance dans Chrome, grâce à l'utilisation d'une liste blanche publique".

De son côté, le CNNIC a fait savoir que des nouvelles procédures vont être mises en place pour éviter la répétition d'un tel incident. Il est question de prendre en compte le processus de transparence des certificats ( pour les documents que l'autorité est susceptible d'émettre. Google explique qu'il lèvera l'exclusion du CNNIC dès que ces mesures seront mises en place.

Partager sur les réseaux sociaux

Articles liés