Contrairement à l’aveu public de Art Coviello la semaine passée, l’annonce du piratage de Comodo et du vol de 8 certificats importants est entouré d’une discrétion remarquable. Tout au plus peut-on découvrir une page d’une sécheresse toute technique visiblement pas du tout conçue pour informer les clients, un billet de blog rédigé par Melih Abdulhayoğlu, fondateur de Comodo, dont la teneur est proche du vide intersidéral, et enfin, en date du 23, un autre billet de blog signé Phillip Hallam-Baker qui fournit quelques explications sur l’attaque en social engineering qui aurait été à l’origine du vol des certificats. Mais toujours pas de communiqué de presse, pas la moindre annonce sur la « home page » du site principal. La seule alerte de sécurité officielle est publiée par Microsoft : un billet sur le blog du MSRC, un bulletin d’alerte 2524375. Les certificats compromis concernent
login.live.com
mail.google.com
www.google.com
login.yahoo.com (3 certificats)
login.skype.com
addons.mozilla.org
sans oublier un « domaine de confiance générique » baptisé Global Trustee, sans autre forme d’explication.
La répudiation a été « presque » immédiate et il faudra 3 jours pour que les principaux éditeurs de navigateurs puissent modifier et pousser leurs correctifs. Si, comme le raconte Phillip Hallam-Baker, le raid sur les certificats, a été conduit avec un professionnalisme extrême, l’on peut estimer que ces trois jours ont été nécessaire pour que les attaquants aient pu obtenir ce qu’ils cherchaient. La possession d’un certificat valide permet de spoofer n’importe quel client en lui faisant prendre un site lanterne pour une vessie. Jusqu’à présent, les soupçons se tournent vers l’Iran, les numéros IP tracés provenant tous de ce pays… une « certitude » qui demande une certaine prudence quant à son interprétation. Ce qu’une commission comme l’Hadopi peut considérer comme une preuve formelle et recevable, un Quai d’Orsay ne peut politiquement l’accepter. Certains croient en l’existence d’un firewall Open Office, d’autres en la réalité des Open Proxy. Simple question de compétence. En attendant que soit résolu cet insondable mystère, on ne peut qu’émettre des doutes sur l’authenticité de la provenance de l’attaque… trop cohérente et trop évidente pour être vraie. Ou alors, c’est là une « anti-preuve» d’une sournoiserie remarquable.
Vient ensuite la question de la révocation des certificats.« Largement inutile, presque vaine » fait remarquer un participant actif de l’équipe Tor, l’ognon router, qui, au fil d’une analyse relativement technique, en profite pour pointer sur un article d’Adam Langley sur le sujet. Sans même aller aussi loin que ne le font ces deux savants (au sens étymologique du terme), l’on peut imaginer qu’un humain normalement constitué est incapable de comprendre ce qu’est un certificat, et se moque dans 99% des cas des messages d’alerte abstrus affichés par un navigateur.
Les vendeurs de confiance en berne
Il est assez cocasse de se rappeler que c’est ce même Comodo qui, en juin 2010, tentait de torpiller l’image de marque de son principal concurrent, Verisign, en signalant une brèche dans la gestion des certificats SSL. Les « vieux » RSSI se souviennent, quant à eux, des conseils de prudence de Fred Cohen, auteur du célèbre « 50 Ways », notamment dans les 50 ways to defeat your firewall , « 50 ways to defeat your PKI » et 30 lies about secure electronic commerce. L’inventeur de la notion de virus informatique et père des premiers honeypots conseillait déjà, il y a plus de 20 ans, la « confiance sans illusion » à l’égard du business des certificats.
Steve Gibson (GRC), dans son papier du 19 mars, déclarait déjà « any company using RSA SecurID tokens should consider them completely compromised and should insist upon their immediate replacement ». En d’autres termes, tant qu’il n’y aura pas une totale transparence sur ce qui s’est passé tant chez RSA que chez Comodo, les utilisateurs de certificats devront se méfier de leurs clefs. Un sentiment que partage totalement notre confrère Dan Goodin du Reg, qui titre « RSA won’t talk? Assume SecurID is broken ». Le Sans Institute est nettement moins catégorique, mais donne dans le détail une sorte de « check list » des mesures de mitigation à appliquer. Vérifier l’application des correctifs pour parer à tout exploit distant, garder un œil sur les logs, vérifier la solidité des politiques de mots de passe et de PIN… en bref, faire comme si la confiance envers RSA avait été sérieusement entamée. Les mots n’y sont pas, mais le décryptage de l’understatement anglo-saxon l’indique clairement.
L’on ne peut clore le sujet sans saluer un remarquable exercice de vulgarisation, dans le style « dessines-moi une autorité de certification », écrit par Robert Graham d’Errata Sec. C’est simple, compréhensible même par un journaliste, mais malgré tout trop complexe pour être expliqué à un beau-frère ou à une grande tante.