IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Plusieurs certificats SSL délivrés sans autorisation auraient fragilisé la sécurité de la plateforme Google


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 557
    Points
    26 557
    Par défaut Plusieurs certificats SSL délivrés sans autorisation auraient fragilisé la sécurité de la plateforme Google
    Plusieurs certificats SSL délivrés sans autorisation auraient fragilisé la sécurité de la plateforme Google
    La plateforme Google n’a pas été compromise

    Google vient de détecter un ensemble de certificats non autorisés pour sa plateforme. L’annonce a été faite il y a quelques jours par Adam Langley sur le blog officiel de la firme consacré à la sécurité.

    Les faits remontent au 20 mars dernier où le leader de la recherche sur le web a découvert la présence d’un ensemble de certificats numériques non autorisés délivrés pour plusieurs noms de domaine de sa plateforme. Ces certificats ont été délivrés par une autorité intermédiaire égyptienne dénommée MCS Holdings alors qu’elle n’en a pas le droit officiellement. CNNIC qui est l’autorité chinoise détentrice légale de ces certificats est l'autorité reconnue officiellement comme étant l'organisme de délivrance de ces certificats.

    Le problème que cela soulève est que puisque MCS est une autorité intermédiaire, en délivrant ces certificats non autorisés, cela lui permettrait d’espionner les communications entre Google et les utilisateurs sur son réseau.

    Concrètement, lorsque vous voulez vous connecter à la plateforme Google, vous envoyez une requête au serveur Google à partir de votre terminal. Cette requête est en fait un certificat de sécurité SSL pour établir une connexion sécurisée. Le serveur confirme l’authenticité de la clé et établit la connexion avec votre terminal. Lorsque le certificat est délivré par une autorité intermédiaire, cela peut favoriser une attaque de type homme du milieu par l’entreprise qui l’a délivré. Toutefois Google affirme que sa plateforme n’a pas été compromise. « Nous n’avons aucune indication d’abus et nous ne suggérons pas que les gens changent les mots de passe prennent d’autres mesures ».

    Pour régler le problème, Google a immédiatement contacté CNNIC l’autorité légale de délivrance de certificats afin de révoquer son pouvoir de délivrance de certificats accordé à MCS. CNNIC a répondu en expliquant qu’un contrat a été signé entre les deux sociétés afin que MCS puisse délivrer des certificats intermédiaires pour les noms de domaines qu’elle détient.

    Dans tous les cas, Google a bloqué ces certificats afin qu’ils ne puissent pas être utilisés pour se connecter à sa plateforme. Chrome et Firefox ont rejeté de fait les certificats non autorisés en utilisant le mécanisme de vérification des entités délivrant les certificats appelé public key pinning. Microsoft a également mis à jour sa liste de confiance des certificats en révoquant ceux détenus par MCS Holding.

    Google rappelle à la lumière des récents évènements, l’importance de son projet certificate transparency qui permet de contrôler et vérifier les certificats SSL en temps réel.

    Source : Blog Google

    Et vous ?

    Quel commentaire faites-vous de ce qui s’est passé ?

  2. #2
    Expert éminent sénior

    Homme Profil pro
    pdg
    Inscrit en
    Juin 2003
    Messages
    5 755
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : pdg

    Informations forums :
    Inscription : Juin 2003
    Messages : 5 755
    Points : 10 719
    Points
    10 719
    Billets dans le blog
    3
    Par défaut
    La société en question explique ce qui s'est passé ici :
    http://www.mcsholding.com/MCSResponse.aspx

    MCS had received the Sub-ordinate certificate from CNNIC on mentioned date and started the test on same day inside MCS lab which is a protected environment, MCS had assured to store the private key in a FIPS compliant device (Firewall), to run the test which had started with no incidents on Thursday, and for the sack of unintentional action the Firewall had an active policy to act as SSL forward proxy with an automatic generation for a certificates for browsed domains on the internet, which had been taken place on a weekend time (Friday, and Saturday) during unintentional use from one of the IT Engineers for a browsing the internet using Google Chrome which had reported a miss-use at Google’s End.

    MCS had deleted the certificate immediately from the firewall once gotten notified by CNNIC for the incident, at same time, MCS had submitted an incident report to CNNIC and all the concerned parties on the same day of notification.

    MCS confirms that the reported issue is a human mistake that took place unintentionally through a single PC inside MCS Lab which had been dedicated for testing purposes. Quoting google spokesman, confirms: "We have no indication of abuse, and we are not suggesting that people change passwords or take other action". Claims by some public reports are inconsistent with statement by Google spokesman for abuse or spying activity for any traffic: “Google does not, however, believe the certificates were used for that purpose”. As stated by Google spokesman.

  3. #3
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 958
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 958
    Points : 88 588
    Points
    88 588
    Billets dans le blog
    2
    Par défaut Les certificats numériques délivrés par le CNNIC ne seront plus reconnus par Google et Mozilla
    Les certificats numériques délivrés par le CNNIC ne seront plus reconnus par Google et Mozilla
    Après la récente découverte d’émission de certificats non autorisés

    Les certificats délivrés par le CNNIC - l’autorité chinoise de certification numérique – et des autorités de certifications (CA) intermédiaires autorisées par le CNNIC ne seront plus reconnus dans Chrome et Firefox et les autres les produits de Google et Mozilla.

    La décision fait suite à une déclaration de Google la semaine dernière, dans laquelle le géant de l’IT affirme avoir remarqué l’émission de certificats non autorisés pour plusieurs des domaines Google. Les certificats auraient en fait été émis par MCS Holdings, une CA intermédiaire basée en Egypte, autorisée par l’autorité chinoise de certification numérique.

    Dans une mise à jour de sa déclaration initiale, Google explique qu’à la suite d’une enquête que la firme a menée conjointement avec le CNNIC, il a été résolu que les certificats émis par l’autorité chinoise ou au nom de cette dernière ne seront plus pris en compte dans ses différents produits. Les utilisateurs de Chrome recevront des avertissements de sécurité lorsqu’ils voudront visiter un site authentifié par le CNNIC. Ils auront donc la possibilité d’ignorer l’avertissement et continuer sur le site.

    « Cette mesure prendra effet dans une future mise à jour de Chrome », a indiqué la firme de Mountain View. La firme voudrait en fait laisser le temps aux clients touchés par cette mesure pour prendre toutes les précautions nécessaires avant que la sanction n’entre en vigueur. Entre temps, dit Google, « nous allons autorisé les certificats existants du CNNIC à continuer à être marqués comme fiables dans Chrome, grâce à l'utilisation d'une liste blanche révélée publiquement ».

    Du côté du CNNIC, la mesure prise par Google n’est logiquement pas bien appréciée. « La décision que Google a prise est inacceptable et incompréhensible pour le CNNIC et en attendant, le CNNIC exhorte sincèrement Google à prendre les droits et les intérêts des utilisateurs pleinement en considération. » A-t-il écrit sur son site. Pour rassurer les clients à qui il a déjà émis des certificats, le CNNIC ajoute encore que leurs « droits et intérêts légitimes ne seront pas affectés ».

    Comme si la mesure de Google n’était pas suffisante, Mozilla vient s’aligner sur la décision de son concurrent, en prononçant la même sentence contre l’agence gouvernementale qui supervise le registre des noms de domaine de la Chine.

    Après avoir examiné les circonstances et entrepris une « discussion vigoureuse » sur sa liste de diffusion publique, Mozilla a conclu que le comportement du CNNIC - « en délivrant un certificat intermédiaire sans contrainte à une société sans pratiques PKI documentées et sans contrôle de la façon dont la clé privée a été stockée ou contrôlée » - n’était pas conforme à sa politique s'appliquant aux CA, a dit l’éditeur de Firefox.

    Sur cette base, Mozilla a décidé de mettre à jour son code de sorte que les produits Mozilla n'aient plus confiance à aucun certificat délivré par le CNNIC avec une date « notBefore » fixée au 1er Avril 2015 ou après. La date notBefore est une date avant laquelle le certificat n'est pas valide, ce qui signifie qu'il ne peut être valide qu'après cette date. Cela implique que les utilisateurs de Firefox recevront des avertissements de sécurité pour les nouveaux sites authentifiés par le CNNIC.

    Toutefois, Google et Mozilla donnent à l’autorité de certification chinoise la possibilité de soumettre une nouvelle demande pour sa réintégration, « une fois que les contrôles techniques et procéduraux adéquats sont en place », comme l’a dit Google.

    Sources : Blog Google Online Security, Blog Mozilla Security, CNNIC

    Et vous ?

    Qu’en pensez-vous ?

    Quels seraient les impacts des décisions de Google et Mozilla sur les sites web concernés ?

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    ça devrait donner une leçon aux chinois qui on tendance à tout faire pour le fric et rien pour la sécurité

  5. #5
    Candidat au Club
    Femme Profil pro
    Conseil en assistance à maîtrise d'ouvrage
    Inscrit en
    Avril 2015
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 44
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Conseil en assistance à maîtrise d'ouvrage

    Informations forums :
    Inscription : Avril 2015
    Messages : 2
    Points : 4
    Points
    4
    Par défaut Bonne chose
    Je n'ai rien contre les chinois, mais contre leurs gouvernants corrompus si.

    La securite en informatique est une chose essentielle. Et des mesures radicales s'imposaient.

Discussions similaires

  1. Facebook connect sans certificat SSL
    Par jackbauer33 dans le forum Facebook
    Réponses: 0
    Dernier message: 21/05/2013, 11h37
  2. page securiser paypal sans certificat ssl
    Par kate59 dans le forum PHP & Base de données
    Réponses: 1
    Dernier message: 17/03/2013, 14h47
  3. Impossible d'utiliser plusieurs certificats SSL
    Par csseur22 dans le forum Apache
    Réponses: 6
    Dernier message: 19/07/2010, 16h31
  4. prix d'un certificat ssl cher ?
    Par roninou dans le forum Sécurité
    Réponses: 1
    Dernier message: 16/09/2005, 15h08
  5. Certificat SSL ...
    Par rgarnier dans le forum XMLRAD
    Réponses: 12
    Dernier message: 22/03/2005, 10h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo