Peu de gouffres en cette rentrée. Il faut dire que la période estivale a été riche en lièges de tous types. Microsoft, pour sa part, publie un bulletin d’alerte signalant la répudiation de plusieurs certificats Diginotar. Cette action fait suite à la découverte de certificats forgés concernant *.microsoft.com et *.windowsupdate.com et émis par Diginotar, une autorité de certification Hollandaise. Une précédente alerte avait été émise fin août à destination des usagers de Vista, Windows 7 et des noyaux serveurs correspondants. Une méthode d’éradication manuelle des certificats avait même été publiée, toujours sur les pages du Technet.
La compromission serait le résultat du travail d’un hacker déjà connu pour avoir mis à mal une autre autorité de certification, Comodo. Dans un message de revendication, ce cracker affirme avoir également pénétré les secrets de trois autres autorités. Un seul nom sur les trois est dévoilé : GlobalSign, qui a immédiatement cessé tout fonctionnement et s’est lancé dans un audit de ses propres systèmes.
Les premiers résultats d’enquête laisseraient entendre que ce hack aurait été grandement facilité par de très mauvaises pratiques : serveurs de certificats situés dans un seul et même domaine, mots de passe faibles et surtout communs à plusieurs serveurs, machines cohabitant avec des systèmes reliés à Internet, mises à jour des machines approximatives… ceci sans mentionner que le hack aurait eu lieu courant juillet et n’aurait été révélé qu’un mois plus tard.
Il est intéressant (amusant ? inquiétant ?) de noter qu’outre Microsoft, l’une des principales victimes de ce hack d’autorité de certification a été le Gouvernement Hollandais. L’on se souvient des querelles byzantines soulevées à une époque par le fait que le CNRS insistait pour être sa propre autorité, à la fois par souci d’économie et par prudence… afin de ne jamais être tributaire des aléas d’une entreprise privée. Perte d’énergie et d’argent disaient les détracteurs, qui n’avaient probablement jamais entendu parler du « 50 ways to defeat your PKI » de Fred Cohen …
Ce droit au doute, cette réflexion sur la prudence ne semble pas avoir effleuré les politiques du plat pays, ce qui soulève une question : sur l’ensemble des pays de la communauté Européenne (et au sein même de l’organisation de la Communauté et du Parlement) combien de structures gouvernementales reposent sur un CA détenu par une entreprise privée ? Question subsidiaire : parmi les organisations utilisant des certificats « du commerce », combien sont clientes d’entreprises nord-américaines ?
Après les affaires RSA, Comodo et Diginotar, (et peut-être GlobaSign suivi de deux autres CA) la légitimité et surtout la réputation des marchands de certificats est devenue aussi discutable et discutée que celle des vendeurs d’antivirus ou de firewall.