Une violation de confiance de l’autorité de certification expose une vulnérabilité dans les hiérarchies de confiance d’Internet

[ware_item id=33][/ware_item]

Une violation de confiance de l'autorité de certification expose une vulnérabilité dans les hiérarchies de confiance d'Internet


Fin mars 2015, il y a eu une faille de sécurité majeure impliquant des certificats numériques non autorisés se faisant passer pour Google. Cet incident a des implications profondes sur la façon dont les gens ordinaires décident à qui faire confiance sur Internet.

Dans cet article, nous allons essayer d'expliquer pourquoi cela est important pour les utilisateurs finaux comme vous.

Ce qui s'est passé, en bref

Google a détecté des contrefaçons de haute qualité de certificats SSL pour les domaines Google. Les contrefaçons étaient si bonnes qu'elles pouvaient tromper la plupart des navigateurs, laissant éventuellement un attaquant usurper l'identité de Google et d'autres domaines, pouvant même inciter les utilisateurs à révéler leurs mots de passe. Heureusement, les contrefaçons n'existaient que dans un environnement de test fermé.

L'émission de tels faux certificats numériques, même dans un environnement de test, est censée être presque impossible, grâce aux processus rigoureux en place pour vérifier l'identité des détenteurs de certificats. Le fait que cela se soit produit est donc très important, et cela signifie que cela peut se reproduire, et que cela s'est probablement déjà produit pour d'autres organisations, mais est passé inaperçu..

Google répond en mettant à jour son navigateur Google Chrome pour ne plus faire confiance à l'autorité de certification spécifique impliquée (appelée CNNIC); il supprime les certificats racine du CNNIC de ses produits. Mozilla (créateur de Firefox) se méfiera de tous les nouveaux certificats CNNIC jusqu'à la réapplication réussie de CNNIC pour inclusion dans son magasin racine.

Rappel: voici ce qui se passe lorsque vous visitez un site avec un certificat SSL valide

Il sera utile d'avoir une compréhension de haut niveau de ce qui se passe lorsque nous allons sur un site Web en utilisant https et que notre navigateur nous montre une coche verte ou un verrou indiquant que ce site est sécurisé..

  1. Vous saisissez https://www.google.com dans votre navigateur Web.
  2. Votre navigateur Web accède à un répertoire public appelé DNS pour rechercher l'adresse IP qu'il doit utiliser pour contacter google.com.
  3. Votre navigateur Web contacte le serveur à l'adresse IP qu'il a reçue du DNS.
  4. Le serveur répond avec un certificat SSL.
  5. Votre navigateur Web utilise ce certificat SSL pour réaliser deux choses très importantes:
    1. Il confirme l'identité du serveur. Dans ce cas, cela confirme que le serveur est réellement géré par Google; et
    2. Il met en place un canal de communication crypté, de sorte que les données envoyées entre le navigateur et le serveur soient cryptées. Quiconque écoute sur le réseau peut voir que vous communiquez avec Google, mais ne peut pas regarder à l'intérieur du contenu de votre communication.

Si le certificat SSL est valide, votre navigateur affichera la coche verte familière ou verrouillera sur la barre d'adresse.

Ahh, la serrure verte.Ahh, la serrure verte.

Cependant, si un attaquant a réussi à inciter mon navigateur à contacter un faux serveur, votre navigateur remarquera que le certificat SSL est invalide, et il vous montrera un avertissement de sécurité.

Voici ce qui se passe lorsque le certificat SSL est une contrefaçon de haute qualité (indice: votre navigateur ne le remarquera pas)

Voici pourquoi l'annonce de Google est si importante: MCI Holdings a réussi à créer de faux certificats SSL pour Google qui étaient si réalistes qu'ils pouvaient inciter la plupart des navigateurs Web à penser qu'un site Web sur un faux serveur était en fait Google. Idéalement, cela ne devrait jamais se produire. Mais quand c'est le cas, voici à quoi cela ressemblerait:

  1. Vous saisissez https://www.google.com dans votre navigateur.
  2. Un attaquant trompe votre serveur DNS en vous donnant la mauvaise adresse IP pour google.com. Ils pourraient le faire en exploitant les bogues de votre routeur domestique, d'autres routeurs du réseau, des bogues du serveur DNS lui-même (généralement géré par votre FAI) ou de diverses autres manières..
  3. Votre navigateur Web contacte le faux serveur.
  4. Le faux serveur répond avec un faux certificat SSL. Cependant, le certificat est une contrefaçon de si haute qualité que votre navigateur pense qu'il est valide.
  5. Votre navigateur affichera la coche verte ou verrouillera la barre d'adresse.
    1. Lorsque le certificat SSL est une contrefaçon indétectable de haute qualité, vous et votre navigateur penserez qu'il s'agit en fait de GMail ...Lorsque le certificat SSL est une contrefaçon indétectable de haute qualité, vous et votre navigateur penserez qu'il s'agit en fait de GMail…
  6. Vous saisissez votre nom d'utilisateur et votre mot de passe Google dans un clone de haute qualité de GMail, l'envoyant ainsi à l'attaquant, qui contrôle désormais toutes vos données Google, y compris votre courrier électronique, vos documents, vos photos, vos contacts et tout ce qui est lié à votre compte Google..

Comment les navigateurs Web décident-ils de toute façon si un certificat SSL est valide?

Chaque système d'exploitation, smartphone et navigateur Web est préinstallé avec une liste de quelques dizaines d'entreprises ou de gouvernements dont les signatures numériques seront automatiquement approuvées, sauf configuration contraire (plus à ce sujet plus tard). Ces sociétés de confiance sont appelées autorités de certification ou autorités de certification et doivent répondre à des critères détaillés pour faire partie de cette liste..

Racines du système d'accès au trousseauVous pouvez y accéder en accédant à Spotlight > Accès au trousseau > Racines du système.

Si un site Web présente un certificat signé par l'une de ces autorités de certification de confiance, les navigateurs Web interpréteront cela comme «Je vois la signature de cette autorité de certification à laquelle je suis préconfiguré pour faire confiance. Il a signé le certificat de ce serveur. Cela signifie qu'il a vérifié les personnes derrière ce serveur et confirmé qu'elles sont vraiment ce qu'elles prétendent être. Par conséquent, je ferai également confiance à ce certificat et afficherai la coche verte ou le verrou à mon utilisateur. "

Cela aide à penser que les autorités de certification sont analogues aux organismes centraux de confiance qui délivrent des documents d'identité comme les passeports. Lorsque vous demandez un passeport, vous devez apporter des pièces justificatives telles que votre certificat de naissance, votre permis de conduire et une photo, et vous devrez probablement le faire en personne afin qu'ils puissent vérifier que vous êtes bien la personne sur votre photo. Lorsque vous voyagez, vous utilisez votre passeport comme pièce d'identité. Les gouvernements, les hôtels et les compagnies aériennes ont confiance que vous êtes la personne que votre passeport vous confirme.

Vous pouvez considérer une autorité de certification comme analogue à un bureau de délivrance de passeport, et vous pouvez considérer un certificat numérique comme une sorte de passeport ou de document d'identité pour un site Web. Les passeports sont (idéalement) difficiles à falsifier et ont des dates d'expiration. De la même manière, les certificats numériques devraient (idéalement) être difficiles à falsifier, et ils ont également des dates d'expiration. Passé les dates d'expiration, les passeports et les certificats numériques deviennent invalides.

Nous ne pouvons pas prendre pour acquis nos navigateurs et nos ordinateurs

Vous connaissez peut-être certaines des autorités de certification auxquelles votre ordinateur est automatiquement préconfiguré, comme Symantec et GoDaddy. Mais saviez-vous que votre système d'exploitation ou votre navigateur inclut probablement des certificats racine pour des organisations très éloignées comme le bureau de poste de Hong Kong, une organisation des Pays-Bas appelée Staat der Nederlanden Root CA, et divers gouvernements du monde entier? (Si vous êtes curieux, voici la liste des organisations auxquelles Firefox fait confiance).

Le risque est ce qui se passe lorsque l'une de ces autorités de certification signe un forgé certificat d'un imitateur par négligence (ce qui semble être arrivé avec la débâcle de CNNIC / MCS Holdings / Google), ou même par malveillance.

Est-il temps de reconsidérer à qui nous faisons confiance sur Internet?

La confiance sur Internet circule de manière transitoire. Nous faisons confiance aux développeurs de nos systèmes d'exploitation et de nos navigateurs Web; nous faisons confiance aux entreprises comme Google qui gèrent nos données sur Internet; et nous faisons confiance à plusieurs autorités de certification pour vérifier soigneusement l'identité de divers sites Web et émettre uniquement des certificats SSL à leurs propriétaires légitimes.

Le cas des faux certificats Google souligne l'importance de vérifier à quelles autorités de certification nous avons vraiment besoin de faire confiance à nos navigateurs.. Selon les sites Web que vous visitez généralement, l'ensemble des autorités de certification sur lesquelles vous vous appuyez peut être beaucoup plus petit que l'ensemble pré-approuvé sur votre ordinateur..

Voici ce que vous pouvez faire à ce sujet:

  1. Pensez à désactiver certains des certificats racine préconfigurés sur votre ordinateur. Par exemple, si vous ne parcourez généralement pas les sites Web aux Pays-Bas, il est probablement sage de désactiver l'autorité appelée «Gouvernement des Pays-Bas, PKIoverheid» que votre navigateur est probablement configuré pour approuver actuellement. Nous suggérons également de désactiver le certificat racine pour CNNIC.
  2. Envisagez de faire de Chrome votre navigateur par défaut, car Google a la réputation d'être vigilant et de répondre rapidement aux violations de confiance..
  3. Suivez des projets tels que le projet de transparence des certificats de Google, qui crée une solution technique pour détecter plus rapidement les faux certificats. Au cours des mois et des années à venir, ces projets créeront des plugins et des améliorations pour les navigateurs et les systèmes d'exploitation afin de résoudre certains de ces problèmes, mais ces solutions ne sont pas entièrement disponibles aujourd'hui.
  4. En attendant, pensez à utiliser un VPN. Il vous protège de certaines des manières possibles dont un attaquant pourrait essayer d'utiliser un certificat SSL contrefait sur vous. Par exemple, le VPN rend beaucoup plus difficile pour un attaquant de falsifier vos résultats DNS.

Lectures complémentaires:

Que sont les autorités de certification & Faire confiance aux hiérarchies? | GlobalSign
Projet de transparence des certificats de Google

Une violation de confiance de l'autorité de certification expose une vulnérabilité dans les hiérarchies de confiance d'Internet
admin Author
Sorry! The Author has not filled his profile.