Mozilla mène le combat contre l’autorité de certification de l’État néerlandais

Publié le 31 Octobre 2017
Mozilla envisage de désavouer l’autorité de certification de l’État néerlandais en raison des nouvelles dispositions législatives qui seront prises aux Pays-Bas l’an prochain. Kevin Bocek, VP Security Strategy chez Venafi nous livre son analyse.

" Comble de l’ironie, les autorités néerlandaises emboîtent le pas à ceux qui entendent revenir sur la confidentialité des données, et rejoignent la Chine et la Russie dans les opérations visant à éradiquer le chiffrement. Les Pays-Bas envisagent l’attribution de nouvelles prérogatives qui permettraient à l’organisme d’État en charge de l’émission des identités machines de fabriquer de faux certificats numériques. Ces certificats pourraient être utilisés avec n’importe quelle machine dans le monde — de Google à Amazon, et pas uniquement au sein de l’administration néerlandaise — soit un large éventail d’utilisations abusives en perspective !

L’ironie est d’autant plus amère que les Pays-Bas ont été contraints de revenir à l’ère du papier-crayon en 2011, lorsque leur émetteur officiel d’identités machines – DigiNotar – a été victime d’un piratage, mis à profit pour aider l’Iran à tromper les utilisateurs et à intercepter des communications privées. À l’époque, DigiNotar a généré des certificats frauduleux pour Google, Microsoft, Skype et plus de 500 autres machines et a été acculé à la faillite alors qu’il tentait de recoller les morceaux. On aurait donc pu penser que la leçon aurait été retenue.

C’est Mozilla qui mène le jeu ici et, si les autorités néerlandaises ne cèdent pas, d’autres navigateurs risquent fort de le suivre et de désavouer les certificats délivrés par les pouvoirs publics. Une autorité de certification qui émet des certificats numériques pour des machines pour lesquelles elle n’a pas obtenu d’autorisation constitue une menace pour la confidentialité des données, et pour la sécurité nationale. Raison pour laquelle Google et Mozilla ont révoqué les certificats émis par les autorités de certification chinoises CNNIC et WoSign, et l’administration américaine a sommé Apple, Microsoft et Google de répondre à sa missive. D’aucuns seront surpris d’apprendre que nos ordinateurs et appareils mobiles se fient à plusieurs centaines d’autorités de certification aux quatre coins du monde, dont le ministère américain de la Défense.

Voilà qui confirme, si besoin était, que les entreprises doivent être conscientes des utilisations malveillantes des certificats numériques. Certaines technologies, comme celles axées sur la transparence des certificats ou leur répudiation, livrent des informations sur les actions menées par les différents intervenants, des usurpateurs aux pouvoirs publics. Que plusieurs milliers de faux sites reposent sur des identités machines légitimes ou qu’un État émette des certificats pour intercepter des communications en démantelant le chiffrement, les entreprises ne peuvent se permettre d’être des observatrices passives.

Avec un peu de chance, les autorités néerlandaises reverront leurs positions et renonceront à faire voler en éclats le système de confiance qui sous-tend la confidentialité des données et le commerce sur Internet. Malheureusement, cet épisode nous rappelle que les « cryptowars » n’ont jamais véritablement cessé. Du Regulation of Investigatory Powers Act (RIPA) promulgué au Royaume-Uni en 2001 à la législation chinoise sur la cybersécurité de 2017, les États s’efforcent désespérément de prendre le contrôle du chiffrement.
"
Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
Services
Ingram
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires