Comment réagir aux failles SSL ? SSL : les autorités de certification sont-elles dignes de confiance ?
Le récent exploit Beast arrive au mauvais moment pour les pages "https". Ces derniers mois, un pirate, "ComodoHacker" s'est vanté, par deux fois, et preuve à l'appui, de s'être introduit dans les systèmes d'information des autorités de certification pour pouvoir ensuite émettre des certificats SSL qui semblent valides.
DigiNotar, "le plus gros coup dur pour l'écosystème SSL"
Après avoir piraté l'autorité de certification DigiNotar, le pirate aura ainsi pu, avec l'aide d'un complice l'ayant aidé à rerouter le trafic internet en Iran, obtenir plus de 300 000 identifiants de comptes Google / Gmail d'Iraniens. En tout, le pirate avait pu mettre la main sur plus de 500 faux certificats. "Il s'agit là, de loin, du plus gros coup dur pour l'écosystème SSL. Il ne s'agissait pas d'une faille dans les protocoles SSL / TLS, mais plutôt dans l'infrastructure de confiance. Mais le résultat final est le même."
"L'attaque peut aussi être reproduite sur une plus petite échelle, mais aussi plus précise, comme un hotspot wifi. Il est alors possible de récupérer des informations à caractère personnel ou encore de viser un responsable important d'une société et ceci sans alerte de navigateur",explique Gérôme Billois.
En outre, si la PME hollandaise DigiNotar n'était pas la plus connue sur le marché, ce n'était pas le cas de Comodo, qui fait partie des cinq plus gros acteurs, avec GoDaddy, Verisign, GeoTrust et Thawte. Or, le pirate des certificats SSL s'est justement fait connaître en s'en prenant d'abord à Comodo...
Des mauvaises pratiques de sécurité chez les autorités de certifications
Dans ce cadre, peut-on encore faire confiance aux autorités de certifications ? "La sécurisation des échanges entre les utilisateurs et les services Web (nos messageries favorites ou nos sites bancaires) repose avant tout sur la confiance que nous plaçons envers ces autorités, et donc repose directement sur le niveau de sécurité du système d'information de ces dernières", rappelle Julien Coulet, consultant sécurité des systèmes d'information chez Lexsi.
"Il ne faut pas croire qu'un certificat qui coûte plus cher est un certificat plus sécurisé"
Or, pour DigiNotar, "les résultats dans le cadre de l'analyse post-intrusion effectués par un cabinet spécialisé sont éloquents : pas de protection antivirus, pas de gestion des correctifs, pas de supervision, mot de passe faible sur l'ensemble des systèmes audités: bref, tout ce qu'il ne faut pas faire." Depuis ces incidents, DigiNotar a dû se déclarer en faillite.
Processus de vérification effectué avant d'ajouter une autorité racine de confiance
Reste une question essentielle : avant d'être une autorité de certification, quels sont les processus de vérification effectués ? Le consultant de Lexsi pointe par exemple deux faiblesses dans la méthodologie Microsoft pour ajouter une autorité racine de confiance.
"Microsoft demande à l'utilisateur de lire les documents de spécifications fournis par les autorités de certification. Or, un tel document contient plus de 100 pages pas forcément compréhensibles par une personne lambda !"
"Microsoft assure qu'un audit est effectué par des personnes compétentes selon des standards définis." Une simple affirmation, qui n'est accompagnée d'aucun détail.
Globalement, souligne Julien Coulet, "les mesures concernent principalement les propriétés des certificats en eux-mêmes et beaucoup moins la sécurisation des systèmes". Bref, conclut le consultant "nous ne disposons à l'heure actuelle d'aucun indicateur fiable permettant de mesurer le niveau de sécurité de ces autorités à qui nous faisons pourtant confiance les yeux fermés. "
En outre, précise bien le consultant, si certaines autorités sont plus chères que d'autres, "il ne faut pas croire qu'un certificat qui coûte plus cher est un certificat plus sécurisé." Le supplément tarifaire peut en effet tout à fait ne pas être dédié à une meilleure sécurisation du système d'information de l'autorité de certification.