Symantec licencie des employés ayant émis des certificats SSL Google défectueux

Le 18 septembre, Google a annoncé que l’autorité de certification Thawte, filiale de Symantec, a émis une série pré-certificats EV (Extended Validation) pour les domaines google.com et www.google.com, lesquels certificats n’étaient ni demandés ni autorisés par Google. L’incident a entraîné le licenciement de quelques employés du fournisseur de solution de cybersécurité.

Des certificats défectueux générés par des tests internes de Thawte

Les certificats SSL sont couramment utilisés pour protéger le trafic entre un serveur web et un navigateur, notamment pour des opérations sensibles comme les transactions financières, les achats en ligne, les échanges de données et les informations de connexion (identifiants et mots de passe). Sur les réseaux sociaux, par exemple, le SSL est désormais la norme de communication.

Les certificats EV SSL se distinguent des certificats SSL basiques par leur niveau de confiance plus élevé. Ils certifient aux visiteurs d’un site Web que celui-ci a fait l’objet d’un contrôle rigoureux et qu’il ne s’agit pas d’un site malveillant ou d’une reproduction frauduleuse destinée à une escroquerie.

L’authentification et la délivrance des certificats sont la responsabilité d’une Autorité de Certification, une autorité tierce, dont fait partie Symantec. Or, dans le cadre du projet Certificate Transparency, qui consiste à revérifier les certificats SSL, un ingénieur de Google, Stephan Somogyi, a repéré dans ses journaux ces certificats défectueux. Ceux-ci figuraient également sur les journaux de DigiCert, une société privée américaine de certification chargée d’émettre des certificats de sécurité X.509 pour protocole SSL.

Résolution immédiate du problème par Symantec et Google

Symantec a mené ses propres investigations et confirmé dans un communiqué la diffusion « inappropriée en interne d’un petit nombre de certificats de contrôle pour trois domaines au cours des essais de produits. »

La réaction des deux géants a été immédiate afin d’empêcher tout dommage. Symantec a relevé les salariés impliqués dans l’incident de leurs fonctions, justifiant cette décision par la nécessité, en tant que « leader du secteur en matière de sécurité et de la sécurité en ligne », de garantir le respect permanent des standards de sécurité et de confidentialité absolus afin de préserver la confiance des clients. En outre, la société s’est engagée à renforcer la surveillance de ces processus afin de minimiser les risques d’erreur humaine malgré les formations et la politique strictes, et éviter la survenue de telles situations à l’avenir.

Du côté de Google, Chrome a aussitôt été mis à jour afin de bloquer et supprimer les certificats incriminés. Les chercheurs se veulent par ailleurs rassurants, expliquant que les pré-certificats n’ayant été actifs que durant une journée, rien ne laisserait à première vue croire qu’ils aient pu être utilisés par des hackers et affecter les utilisateurs.

En revanche, une diffusion durable de ces certificats sans intervention aurait pu permettre aux pirates d’intercepter des échanges même cryptés entre les utilisateurs et les services Google, de déchiffrer les mots de passe et grâce aux cookies de connexion, de mener des attaques en se faisant passer pour des plateformes Internet légitimes de la firme de Redmond.

Advertisement

No comments.

Leave a Reply