Discussion :

[Stéphane le calme]

Symantec se sépare de certains de ses employés
qui ont émis des certificats SSL Google de façon inappropriée

Les certificats SSL sont devenus une pratique courante dans la sécurisation des communications entre le serveur web et le navigateur, en général pour les transactions bancaires, le transfert de données et les informations de connexion comme les noms d’utilisateur et les mots de passe. D’ailleurs le SSL est récemment devenu une norme pour sécuriser l’utilisation de sites de réseaux sociaux.

C’est une Autorité de Certification (CA en anglais, un tiers de confiance permettant d’authentifier l’identité des correspondants),qui sera chargée de délivrer des certificats décrivant des identités numériques. Il y en a plusieurs de par le monde qui sont reconnus par les éditeurs de navigateurs, ces derniers leur faisant confiance pour délivrer des certificats à des clients. Parmi les CA figure Symantec, un fournisseur de solution de cyber sécurité qui est l’éditeur de la solution Norton Antivirus.

Vendredi dernier, Stephan Somogyi, ingénieur Google qui travaille sur le projet Certificate Transparency dont l’objectif est de procéder à un double contrôle des certificats SSL, a expliqué être tombé sur une série pré-certificats EV (Extended Validation) délivrés par Symantec pour les domaines google.com et www.google.com qui n’étaient ni demandés ni autorisés par Google. Ces certificats ont également été trouvés dans les journaux de DigiCert, une autorité de certification privée américaine qui délivre des certificats de sécurité X.509 pour protocole SSL.

Les certificats EV SSL offrent un niveau de confiance et une garantie supérieurs aux certificats SSL basiques dans la mesure où ils prouvent à vos visiteurs que votre identité et celle de votre organisation ont été vérifiées avec sérieux et qu'il ne s'agit pas d'un site malveillant ou plagié en affichant une barre d’adresse et un cadenas verts comme le montre cette capture d’écran.

Google a mis sur liste noire les certificats en question. Etant donné qu’ils ont été diffusés uniquement durant un jour, Google et Symantec ne pensent pas qu’ils aient pu être utilisés pour mener des attaques. Des pirates auraient pu en profiter pour mener des attaques de type man-in-the-middle afin d’intercepter les communications entre les utilisateurs et les services Google.

Suite à cet incident, Symantec a mené sa propre enquête et a diffusé ce communiqué : « nous avons appris ce mercredi qu’un petit nombre de certificats de contrôles a été émis de façon inappropriée en interne cette semaine pour trois domaines au cours des tests de produits. Tous ces certificats tests ainsi que les clés étaient sous notre contrôle et ont immédiatement été révoqués dès que nous avons découvert le problème. Il n’y a pas eu aucun impact direct sur lesdits domaines et cela n’a à aucun moment constitué un danger pour internet ».

« Bien que nos processus et nos approches soient fondées sur les meilleures pratiques de l'industrie que nous avons contribué à créer, nous avons immédiatement mis en place des processus et des contrôles techniques supplémentaires pour éliminer la possibilité d'une erreur humaine. Nous allons continuer à faire évoluer sans relâche ces meilleures pratiques pour garantir que jamais plus quelque chose comme ça ne se reproduise ».

« En outre, nous avons découvert que quelques employés exceptionnels, qui avaient passé avec succès nos formations strictes en matière de sécurité, ont échoué à suivre nos politiques. Malgré leurs bonnes intentions, cette incapacité à suivre nos politiques à conduit à leur licenciement après avoir passé en revue la question. Parce que vous comptez sur nous pour protéger le monde numérique, nous plaçons la barre au niveau du « compromis zéro » pour de telles infractions. En conséquence, c’était la seule chose qui pouvait être faite ».

« Bien que nous détestions perdre de précieux collègues, nous sommes le leader du secteur en matière de sécurité et il est impératif que nous maintenions les standards les plus élevés ».

Source: blog Google, blog Symantec

Et vous ?

Qu'en pensez-vous ?

Forum Sécurité

[vampirella]

Nous avons immédiatement mis en place des processus et des contrôles techniques supplémentaires.
[...]
Quelques employés exceptionnels [...] ont échoué à suivre nos politiques. Malgré leurs bonnes intentions, cette incapacité à suivre nos politiques à conduit à leur licenciement

Dans l'ensemble de la news, c'est sans doute ceci qui m'a le plus interpellé.
L'entreprise avoue que ses processus contenaient une petite faille laissant place à une erreur humaine. L'erreur est arrivée, plutôt que de remettre en question le management, mettre un avertissement ou tout simplement laisser une seconde chance, Symantec les licencie.
Je trouve cette attitude d'autant plus aberrante et déplorable que ce sont des employés "exceptionnels" d'après leurs dires.

C'est sans doute la meilleure publicité pour recruter chez eux !
"Venez à Symantec ! Vous êtes bien payé mais si vous faites une petite erreur ou ne suivez pas à la lettre notre politique interne, viré !"

Bref, manque de transparence totale de la part de Symantec.

[Stéphane le calme]

Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL,
la filiale d'Alphabet a décidé de prendre des mesures

En 2015, Stephan Somogyi, ingénieur Google qui travaille sur le projet Certificate Transparency dont l’objectif est de procéder à un double contrôle des certificats SSL, a expliqué être tombé sur une série de précertificats EV (Extended Validation) délivrés par Symantec pour les domaines google.com et www.google.com qui n’étaient ni demandés ni autorisés par Google. Ces certificats ont également été trouvés dans les journaux de DigiCert, une autorité de certification privée américaine qui délivre des certificats de sécurité X.509 pour protocole SSL.

Google a mis sur liste noire les certificats en question. Suite à cet incident, Symantec a mené sa propre enquête et a diffusé un communiqué où il affirmait « qu’un petit nombre de certificats de contrôles a été émis de façon inappropriée en interne cette semaine pour trois domaines au cours des tests de produits. Tous ces certificats tests ainsi que les clés étaient sous notre contrôle et ont immédiatement été révoqués dès que nous avons découvert le problème ».

Symantec avait alors décidé de se séparer de « quelques employés exceptionnels, qui avaient passé avec succès nos formations strictes en matière de sécurité et ont échoué à suivre nos politiques ». L’entreprise évoquait le « compromis zéro » pour de telles infractions : « bien que nous détestions perdre de précieux collègues, nous sommes le leader du secteur en matière de sécurité et il est impératif que nous maintenions les standards les plus élevés ».

Deux ans plus tard, en janvier 2017, Google avait à nouveau pointé du doigt Symantec, ou plus exactement trois autorités de certification liées à Symantec, pour avoir émis 108 certificats TLS invalides.

Sur un forum, Ryan Sleevi, un ingénieur logiciel de l'équipe Google Chrome, s’est chargé d’expliquer l’évolution de cette affaire et les décisions prises par Google. « Depuis le 19 janvier, l’équipe de Google Chrome enquête sur des dysfonctionnements de la part de Symantec Corporation pour valider correctement les certificats. Au cours de cette enquête, les réponses fournies par Symantec ont montré un nombre croissant d’erreurs sur chaque question posée par l’équipe Google Chrome. Un ensemble initial de 127 certificats avait bénéficié d’une extension de validité et a permis l’émission d’au moins 30 000 certificats pendant plusieurs années. Mais avec les évènements du début d’année », a expliqué l’ingénieur.

En juxtaposant cette conclusion aux évènements qui se sont produits avant, les ingénieurs ont indiqué que « nous n’avons plus confiance dans les politiques d’émissions et des pratiques de Symantec concernant les certificats au cours de dernières années ».

Selon les ingénieurs, Symantec n’a pas respecté les principes de contrôle de validation qui incombent aux autorités de certification et a, de ce fait, créé un risque pour les utilisateurs Chrome. Pire encore « malgré la connaissance de ces problèmes, Symantec n'a pas réussi à les divulguer proactivement. De plus, même après que ces problèmes sont devenus publics, Symantec n'a pas fourni les informations dont la communauté avait besoin pour évaluer l'importance de ces problèmes jusqu'à ce qu'ils aient été spécifiquement remis en question ».

Même si l’ingénieur rappelle qu’en janvier 2015, les certificats TLS émis par Symantec représentaient 30 % du volume des certificats sur Internet, Google a quand même décidé d’appliquer des sanctions pour rétablir la confiance qui est désormais brisée. Symantec verra notamment :

• une réduction de la période de validité acceptée des nouveaux certificats émis par Symantec à neuf mois ou moins, afin de minimiser tout impact sur les utilisateurs Google Chrome de tout autre malentendu qui pourrait survenir ;
• une méfiance incrémentielle, englobant une série de versions de Google Chrome, de tous les certificats Symantec actuellement émis, exigeant qu'ils soient revalidés et remplacés ;
• la suppression de la reconnaissance du statut de validation étendue des certificats délivrés par Symantec, jusqu'à ce que la communauté puisse avoir à nouveau confiance aux politiques et pratiques de Symantec, mais pas avant un an.

Dans l’agenda proposé par les ingénieurs, Chrome 59 va limiter la date d’expiration à 33 mois à leur émission (1023 jours), dans Chrome 64 ce délai sera de 9 mois (279 jours).

Source : Google

[_skip]

Certains commentaires sur la liste montrent que la mesure fait pas l'unanimité

I fail to see anything relevant you've said? Yes - we are all mad at Symantec, and random google vigilante-employees want to cause extreme pain and damage to that company: fair enough.

However: screwing over 30,000+ innocent bystanders IS NOT THE WAY TO DO IT.

The startcom issue was just one naughty certificate; the destruction of all startcom user websites (including mine) was a decision google made to punish startcom for lying about their business relationship with wosign. This severely hurt huge numbers of innocent bystanders again, caused irrevocable damage (no other CA offers unlimited wildcard SANs) and massive costs (startcom were 10x+ less expensive that the greedy big American CAs ripping us all of $millions for nothing more than a few DNS lookups and crypto operations).

I'm not supporting Symantec, and not supporting startcom either.

I'm asking that you figure out who the bad guy is, and stop punching us instead of them. The Google fist is a one-punch killer. Be ***responsible*** with how you wield that power. Execute just bad guy, don't commit genocide!!!

[coolspot]

Et bien décidément ces dernières années que de scandale sur les certification SSL. Après le scandale StartSSL, voilà que Symantec aussi fais des truc pas très net. Etant un ancien utilisateur de StartSSL et ayant fais les frais des sanction de cette autorité de certification j'ai pu heuresement me tourner vers Let's Encrypt pour mon site web qui m'a sauvé la mise et ne pas me retrouver comme un cul sans certificat (ou devoir sortir le carnet de cheques).

Bref je pense qu'il faudrait revoir ce système d'autorité de certification. C'est trop opaque et quand on voit certain scandale qui ressorte on se demande bien ce qu'il peut y avoir sous le tapis

Je sais pas peut etre que les autorité de certification devrait être sous le contrôle de L'ONU et pas simplement des entreprises privées qui ont tout pouvoir.