mar, 20/09/2011 - 13:22
Suite aux récents événements autour de l’Autorité de Certification DigiNotar qui impactent de façon majeure la confiance sur Internet, le Directeur Général de Keynectis, Pascal Colin, rappelle les faits et les met en perspective. Il lui est apparu essentiel de mettre quelques points en lumière en tant que représentant de l’Autorité de Certification leader en Europe spécialisée dans la sécurisation des identités et des échanges numériques.
L’Internet du 21ème siècle sera sécurisé ou ne sera pas. L’Internet ne peut effectivement se concevoir qu’avec la confiance. Sans la confiance les échanges d’informations ne sont plus envisageables, l’e-commerce ne peut plus exister, les webmails ne sont plus protégés, les authentifications sur les sites web ne sont plus sécurisés, … Alors que la sécurité sur Internet est aujourd’hui en phase de structuration et de maturation, de tels événements peuvent porter un coup fatal à l’Internet.
Rappel des faits : une Autorité de Certification bannie à vie des Navigateurs Internet
« DigiNotar, une Autorité de Certification basée en Hollande, a été récemment victime d’une attaque majeure permettant à des pirates de créer des certificats électroniques SSL frauduleux et ceci pour plus de 500 sites Internet dont google.com, microsoft.com ou des sites de webmail et d’agences de sécurité américaines. Ces certificats SSL sont utilisés pour garantir l’authenticité d’un site Web et pour chiffrer (encoder) les échanges d’informations entre ce site Web et les navigateurs Internet des Internautes. Un certificat frauduleux permet d’usurper l’identité d’un site Web et de se faire passer pour celui-ci. Une personne croyant être sur un site authentique peut se trouver sur un site frauduleux qui peut ainsi intercepter des informations et des communications personnelles et confidentielles.
Les navigateurs Internet ont donc décidé de retirer DigiNotar à vie des Autorités de Certification auxquelles ils font confiance dans leurs outils, portant un coup fatal à cette organisation.
Ce qui a été reproché à DigiNotar n’est pas tant d’avoir été piraté – nul n’est à l’abri d’une attaque, nous en serons probablement victime à notre tour – que :
- son inaptitude à s’en rendre compte,
- son silence après sa prise de conscience,
- son manque de transparence vis-à-vis de la communauté,
- son absence de réponse aux questions posées en particulier par les éditeurs de navigateurs Internet,
- son manque de réactivité,
- son manque de moyens humains, techniques et procéduraux mis en œuvre pour garantir que de tels événements ne puissent pas se produire, et que dans le cas où, malgré tout, ils se produisaient, l’efficience des moyens de résistance et de réponse.
A noter qu’en France d’après l’ordonnance du 24 août 2011, et son article 38, en tant que fournisseur de service de communication électronique nous devons signaler à la CNIL toute "violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques." Legifrance »
Qu’est-ce qu’une Autorité de Certification ?
« Une Autorité de Certification s’engage auprès des éditeurs de navigateurs Internet tels que Microsoft, Apple, Opéra, Mozilla, Google ou RIM à respecter des procédures très strictes et à mettre en œuvre des moyens techniques et humains pour s’assurer que les certificats électroniques SSL pour les sites Web qu’ils délivrent le sont en toute sécurité à des personnes ou des organisations dûment authentifiées. (A noter que ce modèle pour les navigateurs Internet est identique pour d’autres domaines comme par exemple la signature électronique de documents avec des éditeurs tels que Microsoft ou Adobe par exemple).
En détails : En échange ces éditeurs incluent dans leurs outils un certificat électronique « racine » de l’Autorité de Certification. L’Autorité de Certification peut ainsi délivrer des certificats sous cette racine qui seront reconnus de confiance dans ces divers outils. Ainsi, si Keynectis en tant qu’Autorité de Certification peut délivrer au site www.monsiteinternet.fr un certificat électronique SSL, les Internautes tapant https://www.monsiteinternet.fr dans la barre d’adresse du navigateur verront s’afficher un cadenas à coté de cette adresse et pourrons cliquer sur ce cadenas pour contrôler l’identité numérique du site. Le navigateur Internet fait confiance à l’Autorité de Certification Keynectis qui fait elle-même confiance au site https://www.monsiteinternet.fr. Le navigateur Internet fait ainsi confiance au site Web, accepte l’adresse www.monsite.fer en https et affiche le cadenas.
Afin de garantir que nos procédures et moyens mis en œuvre font de Keynectis une organisation de confiance, nous nous soumettons régulièrement à des Audits tel que l’audit WebTrust http://www.webtrust.org ou l’Audit LSTI ETSI (European Telecommunication Standard Institue) http://www.etsi.org. Nous faisons aussi certifier nos logiciels (Comon Criteraia EAL4+ http://www.commoncriteriaportal.org/products par exemple). Enfin, nous participons à des groupes de travails tels que le Certification Authorities and Browsers Forum (www.cabforum.org) afin d’échanger avec la communauté.
Nos procédures de validation des identités des personnes et des organisations peuvent souvent apparaitre lourdes à nos clients et partenaires, et parfois même anti-commerciales. En tant qu’Autorité de Certification garante de la confiance, nous avons choisi de ne pas déroger néanmoins à ces procédures et règles parfois contraignantes que nous nous sommes fixées. »
Et demain ?
« Les usages d’outils de confiance comme :
- La signature électronique en particulier de documents,
- Le cryptage des échanges d’informations,
- L’authentification électronique de personnes, organisations, machines, sites web, etc.
- L’horodatage à partir d’un serveur d’horodatage certifié,
- L’archivage sécurisé à valeur probante,
vont se généraliser. Les personnes et les organisations vont se familiariser avec ces usages et ces outils. Les règles et les procédures vont se resserrer. Ainsi les certificats SSL Extended Validation vont par exemple progressivement remplacer les autres certificats SSL qui offrent moins de garanties et les certificats SSL Domain Validated fournis via des procédures automatisées vont disparaitre. Les audits des Autorités de Certification vont se renforcer et devenir de plus en plus stricts. Il est aussi probable que les autorités gouvernementales vont vouloir s’impliquer et peut être statuer sur, par exemple en France, la délivrance de certificats SSL pour les noms de domaines « .fr » délivrés par l’AFNIC. Des organisations telles que la CNIL vont peut-être demander à ce que chaque échange d’informations personnelles via un formulaire sur l’Internet soit chiffré (encodé) grâce à un certificat SSL. Nous sommes favorables à ces évolutions et y contribuerons.»
Pascal Colin, Directeur Général de Keynectis
A propos de l'auteur