Affaire DigiNotar : Mozilla fait pression sur les autorités de certifications
Et exige l'audit complète de leur sécurité avant le 16 septembre
Toujours dans les répercussions de la récente intrusion dans les systèmes DigiNotar, la fondation Mozilla hausse le ton envers les autorités de certification après avoir été elle même victime de l'un des 500 certificats falsifiés par le hacker iranien ComodoHacker.
Dans une lettre ouverte urgente, Kathleen Wilson, responsable du module de certification de Firefox et Thunderbird, somme les autorités de certification d'auditer sérieusement en cinq volets dûment précisés, leurs systèmes de sécurité à la recherche de toute trace de compromission.
Sans s'étaler sur les répercussions en cas de manquement, Mozilla exige des 54 autorités qui participent à son programme root (certificat racine) un rapport par email avant le 16 septembre 2011, probablement sous peine de subir le même sort que le hollandais DigiNotar, radié des logiciels de la fondation jusqu'à nouvel ordre, pour manquement aux rudiments de la sécurité à cette échelle.
Les mesures que Mozilla attend incluent l'audit des Infrastructures à clés publiques (PKI), le passage au crible des systèmes de leurs ordinateurs et de ceux de leurs autorités de certification subsidiaires et autres autorités de régulation, à la poursuite de tout signe d'intrusion.
La fondation exige en outre la mise en place de sérieuses mesures de sécurité, comme un système de blocage automatique en cas d'intrusion et l'obligation de mettre en place une authentification multifacteur pour les comptes sensibles émetteurs de certificats.
À savoir que tous les certificats émis par une autorité révoquée du programme root de Mozilla, se verront rejetés sur Firefox et Thunderbird.
Source : lettre de Mozilla
Et vous ?
Que pensez-vous du message de la fondation Mozilla ?
Et des mesures de sécurité qu'elle exige ?
Partager