Google a fait pression sur les sites de tous types et de toutes tailles pour qu’ils utilisent SSL/TLS. La demande pour ce type de certificat a beaucoup augmenté ces derniers mois, en conséquence, Symantec se positionnant comme l’une des plus grandes entreprises sur ce marché. Mais tous deux sont sur le sentier de la guerre : Google accuse Symantec de ne pas avoir correctement mis en œuvre les certificats, un problème qui, s’il est avéré, peut compromettre la sécurité des utilisateurs.
Lorsque vous accédez à une page qui commence par https://, vous êtes face à un site avec SSL/TLS. Cette fonction permet essentiellement de valider l’identité du site et de crypter les informations que l’utilisateur reçoit ou envoie à l’adresse. Dans la pratique, les visiteurs sont mieux protégés. C’est pourquoi, dans les recherches, Google privilégie progressivement les sites avec HTTPS autant que possible.
Pour qu’un certificat fonctionne, il doit être délivré par une autorité de certification (CA). L’un d’entre eux est Symantec – peut-être le plus grand : une étude de Netcraft indique que la société est responsable de la délivrance d’un certificat sur trois, environ. En effet, Symantec contrôle actuellement les certificats de plusieurs entreprises du secteur, telles que VeriSign, GeoTrust et RapidSSL.
La délivrance et la gestion des certificats doivent suivre les critères établis par le CA/Browser Forum, une entité qui regroupe, outre les CA, des entreprises qui développent des navigateurs (dont Google).
Lorsqu’une AC – ou, selon les circonstances, une organisation qui lui est liée – enfreint les règles de cet écosystème, les autres participants du CA/Browser Forum peuvent remettre en question les activités de l’entreprise. C’est plus ou moins ce que fait Google.
Selon l’entreprise, une équipe de Chrome enquête sur les certificats émis par Symantec depuis le 19 janvier. Ces travaux indiquent qu’au moins 30 000 certificats ont été générés sans que certaines pratiques de sécurité soient suivies, parmi lesquelles la validation du contrôle du domaine et l’audit des registres.
Les enquêtes ont commencé au début de l’année, mais le problème a été découvert il y a longtemps : Symantec a délivré des certificats comportant des erreurs à Google lui-même et à Opera Software en octobre 2015, selon Ryan Sleevi, un ingénieur logiciel qui travaille chez Chrome.
Pour sa défense, Symantec a affirmé qu’il avait enquêté sur le problème et constaté que les certificats avaient été délivrés dans le cadre d’un test de routine et que, par conséquent, il n’y avait pas eu de compromis sur la sécurité ou de préjudice pour les parties. Tout aurait été résolu avec l’enquête.
Ce combat va loin. Symantec se défend en disant que l’équipe Chrome exagère le nombre de certificats à problèmes, que ceux qui ont vraiment des erreurs n’ont pas affecté la sécurité des clients concernés et que d’autres AC ont eu des défaillances similaires, mais qu’elles ne sont pas facturées pour cela.
Google voit le problème si sérieusement que, si des mesures correctives ne sont pas prises, il envisagera de ne plus reconnaître les certificats émis par Symantec, de manière progressive. Ainsi, les clients concernés auront le temps de procéder à des échanges pour de nouveaux certificats répondant aux critères de sécurité.
Mais il y a de fortes chances que les deux entreprises parviennent à un accord avant que la situation ne s’aggrave. Reconnaissant qu’il est désavantagé, Symantec a déjà fait savoir que, bien qu’il rejette les accusations, il est prêt à discuter avec Google des moyens de mettre fin à cette lutte compliquée e.
