Connexion
Abonnez-vous

Google Chrome réduit sa confiance dans les certificats TLS de Symantec

L'industrie du popcorn en plein boum

Google Chrome réduit sa confiance dans les certificats TLS de Symantec

Le 27 mars 2017 à 10h10

De Chrome 59, prévu en juin, à Chrome 64, Google veut réduire peu à peu la durée de validité des certificats actuels de Symantec. La raison : l'autorité aurait fourni de très nombreux certificats sans réellement les contrôler, donnant trop facilement sa confiance. Des mesures que conteste Symantec, qui affirme avoir agi rapidement sur le sujet.

Google lance une bataille à ciel ouvert avec Symantec. Dans un sujet sur Google Groups, daté du 23 mars, l'entreprise annonce des mesures de rétorsion contre l'autorité de certification, accusée d'avoir fournie des certificats TLS à tours de bras pendant des années, sans respecter les standards minimaux de Chrome. L'entreprise veut donc réduire sa confiance dans les certificats actuels, tout en contraignant l'autorité à de meilleurs standards à l'avenir.

Pour cela, l'entreprise exploite son Blink Process, lié au moteur de rendu Blink (le dérivé de Webkit conçu par Google), qu'elle dit ne pas avoir utilisé jusqu'ici pour les questions de certificats.

Pour rappel, le chiffrement d'un site web (en TLS) se fonde sur des certificats, qui sont délivrés et contrôlés par des autorités, elles-mêmes considérées de confiance par les navigateurs. Les certificats de Symantec, l'un des principaux acteurs du secteur, sont donc vus comme fiables par l'ensemble des navigateurs. Pourtant, affirme Google, l'entreprise aurait abusé de cette confiance.

Symantec accusé d'être trop peu regardant

Le géant de la recherche compte donc réduire graduellement la durée de validité des certificats de Symantec dans Chrome, et obliger l'autorité à les renouveler rapidement. Google n'accorde plus qu'une confiance relative à l'entreprise, qui doit revoir ses méthodes pour revenir dans ses bons papiers, alors que Chrome est l'un des navigateurs les plus utilisés actuellement.

Qu'est-il reproché exactement à Symantec ? L'équipe de Google Chrome enquête depuis le 19 janvier sur des manquements de l'autorité de certification, qui aurait une politique trop lâche sur la validation. L'instruction, concernant d'abord 127 certificats, a été étendue à plus de 30 000 d'entre eux, certains datant de plusieurs années. Dans le même temps, l'autorité est accusée de ne pas avoir répondu à temps aux enquêteurs de Google.

Fin 2015, Symantec avait reconnu avoir fourni près de 2 500 certificats pour des noms de domaine inexistants, après signalement de Google. 23 certificats de test avaient par ailleurs été fournis pour des adresses liées à Google et Opera, sans que les sociétés ne soient mises au courant.

Des certificats avec une validité maximale de neuf mois

Google annonce qu'il compte retirer peu à peu sa confiance aux certificats validés par Symantec, avec une durée de validité réduite toutes les six semaines avec chaque nouvelle version du navigateur. Avec Chrome 59, censé arriver en version stable en juin, la validité des certificats concernés passera à 33 mois. Chrome 60 enchainera à 27 mois, Chrome 61 à 21 mois, Chrome 62 à 15 mois, puis les versions de développement et bêta de Chrome 63 à 9 mois. La version stable de Chrome 63 conservera tout de même la validité à 15 mois, avant que la durée de 9 mois ne soit entérinée avec la version finale de Chrome 64, début 2018.

L'étape finale est donc de passer à neuf mois de validité, en évitant de le passer dès la version finale de Chrome 63, qui atterrira en plein hiver ; à un moment où les organisations gèlent les modifications sur leurs infrastructures. Chrome 64, début 2018, abattra donc le couperet pour tous les utilisateurs du navigateur. Google affirme aussi que le changement prévu entre Chrome 59 et 60 devrait avoir « un effet minimal », vu qu'une part des certificats concernés s'appuie de toute manière sur l'algorithme SHA-1, déjà obsolète.

Le groupe précise qu'à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur. « De quoi assurer que le risque de toute future erreur d'émission est, au mieux, contenu à neuf mois » estime-t-il.

Le propriétaire d'un certificat Symantec bientôt masqué

Symantec est aussi accusé à un autre niveau. Il « ne s'est pas assuré que les informations des organisations, affichées dans la barre d'adresses, atteignent bien le niveau de qualité de tels certificats et la validation nécessaire à un tel affichage » attaque encore Mountain View.

Pour mémoire, il s'agit d'une validation supplémentaire, proposée par les autorités de certification, qui vérifient manuellement si l'organisation qui émet le certificat est bien celle qu'elle prétend être. Il s'agit d'une procédure payante, logiquement contraignante, qui ne le serait pas assez chez Symantec au goût de Google. Le groupe propose donc de ne plus l'afficher pour cette autorité, jusqu'à ce qu'elle mette sa procédure en ordre.

Google reconnaît que ces mesures posent « des risques de compatibilité peu anodins », justifiant entre autres la limitation graduelle de la durée de validité. La société dit ne pas connaître les mesures que peuvent envisager Apple et Microsoft pour Safari et Edge. Mozilla ne semble pas encore avoir envisagé le sujet dans ses discussions publiques.

Symantec récuse les accusations de Google

Dans un billet de blog publié le 24 mars, Symantec répond vertement à l'annonce de Google. « Cette mesure est inattendue, et nous pensons que ce billet de blog est irresponsable. Nous espérons qu'il ne s'agit pas d'une tentative de déstabilisation de la confiance de la communauté Internet dans nos certificats » déclare la société, qui dit soutenir son autorité.

Elle indique que seuls 127 certificats ont bien été identifiés comme délivrés à tort, et non 30 000, « sans conséquence pour les internautes ». Elle affirme par ailleurs avoir pris des mesures immédiates les concernant, avec un contrôle renforcé de la fourniture de nouveaux certificats. De même, les manquements constatés concerneraient plusieurs autorités (non nommées), alors que Google ne cible publiquement que Symantec. Bien entendu, l'entreprise est « ouverte au dialogue » avec l'éditeur de Chrome.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je ferais remarquer à tout hasard que mozilla a commencé à refuser les certificats de wosign et chépuki avant cette histoire de chrome et symantec, donc Google ne sont pas les seuls à faire ça.



Et c’est clairement problématique ces certificats pourris, un seul suffit à compromettre toute la chaîne de confiance. Et évidemment, d’ici que DANE arrive&nbsp;<img data-src=" />

votre avatar

il suffit de savoir fouiller un peu, mais à la fois sur windows, gnu/linux et android tu as moyen de révoquer des certifs système et rajouter les tiens.



Je reconnais que ce n’est pas forcément à la portée de Dark Michu, utilisateur final.<img data-src=" />

votre avatar

tousse Kaspersky tousse



heureusement que c’est désactivable mais quand même.

votre avatar

Ok, admettons, mais si le navigateur arrive avec sa couche de certificats sur laquelle tu n’as pas de contrôle, ça ne change pas le fond du problème de révoquer ceux du système.

Ou alors j’ai rien compris et que les navigateurs se basent sur les certificats système ?

Parce que quand j’avais lu la doc Mozilla et qu’il te dit gentiment: recompilez sans le module XXX qui intègre les signatures des CA, humhum



&nbsp;







spidy a écrit :



tousse Kaspersky tousse



heureusement que c’est désactivable mais quand même.





+1 …

&nbsp;


votre avatar

Je t’avoue ne pas trop avoir essayé, sauf pour ca certifcates, à l’époque, qui proposait un installeur.

au hasard de la internet :

http://forums.cnetfrance.fr/topic/190310-firefox-revoquer-ou-supprimer-un-certif…

technet.microsoft.com Microsoft

support.microsoft.com Microsoft



etc.



&nbsp;

votre avatar

Il n’y a pas que Kaspersky malheureusement… de plus en plus d’antivirus PC ou Mac se mettent à faire du MITM, et dégradent la robustesse du chiffrement plus qu’ils ne protègent…



http://www.lemondeinformatique.fr/actualites/lire-les-connexions-tls-compromises…

votre avatar

C’était wosign et startssl :nextinpact.com Next INpact



Oui pour ce cas, c’est Mozilla qui a “balancé” l’autorité, puis Google et Apple ont suivi.

Ici, je pense que ça sera pareil : Mozilla et Apple risquent de suivre la décision de Google.

votre avatar







carbier a écrit :



chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d’entre eux ne savent même pas qu’il existe d’autres navigateurs.





Ah bon ? Quel OS installe Chrome par défaut ? (À part Chrome OS)


votre avatar

Les navigateurs ont leurs propres stores de CA. Il n’y a qu’IE et Edge qui utilisent les certificats définis dans Windows.

Les modifications apportées par Google n’impactent que Chrome, rien d’autre.

votre avatar

En coupant la fonction, est-ce que le certificat du site web en question change, ou on ne s’en rend pas compte ?

votre avatar







Akaryatrh a écrit :



Ah bon ? Quel OS installe Chrome par défaut ? (À part Chrome OS)





pas des OS, des softs le plus souvent (Ccleaner me vient à l’esprit mais il doit y en avoir des plus grand public qui le font aussi)



Effectivement, il s’installe parce que les utilisateurs font ‘suivant, suivant, j’accepte, suivant, terminer’ sans lire (ce qui met le navigateur sur le poste, soit en install véritable, soit dans %appdata% - je ne sais pas si ça se fait encore, ce dernier point, ça n’en reste pas moins une hérésie…) ET il se met par défaut parce qu’au premier lancement (automatique post installation, parfois), il demande s’il peut être navigateur par défaut et l’utilisateur répond oui (à moitié par réflexe, à moitié pour se débarrasser de la popup)



TL;DR : La cause réelle d’une partie des Chrome comme browser par défaut est un bon gros PEBKAC mais les installateurs qui le proposent sont aussi à blâmer (pour ne pas plus mettre en avant cette co-installation)


votre avatar

Oui il faudrait une meilleur validation de l’antivirus pour le filtrage https. D’un autre coté, si tu veux une sécurité accrue, il devient presque indispensable de pouvoir faire de l’inspection même dans les connexions HTTPS vu qu’il est relativement simple d’avoir un certificat valide de nos jours.

votre avatar







WereWindle a écrit :



TL;DR : La cause réelle d’une partie des Chrome comme browser par défaut est un bon gros PEBKAC mais les installateurs qui le proposent sont aussi à blâmer (pour ne pas plus mettre en avant cette co-installation)







Bof, parfois tu vois le logo ENORME de Chrome ou de la connerie à installer et les gens cliquent tout de même sans lire <img data-src=" />



J’ai un client qui m’appelle pour me dire qu’il a un message d’erreur qui s’affiche quand il fait telle action. Je lui demande le message, il me dit qu’il ne sait plus mais qu’il peut me montrer : il faut la démo, le message d’erreur s’affiche et il me dit “voilà !” et clique sur “ok” du message d’erreur avant d’avoir pu faire quoique se soit…

Evidemment le message d’erreur était en plus explicite, donc il aurait pu se passer de moi mais bon.


votre avatar

j’ai eu exactement le même problème au taff <img data-src=" />

(la partie moins rigolote c’est que j’étais appelé par deux de mes collègues… eux aussi du support technique informatique <img data-src=" /> <img data-src=" />

votre avatar

Je fais le support pour des administrateurs réseaux, pas pour les utilisateurs <img data-src=" />



Ce genre de délire arrive souvent, et parfois le manque de bases me sidère… enfin me sidérait vu que depuis les années j’ai bien compris <img data-src=" />

votre avatar

“ne pas prendre les gens pour des cons, ne pas oublier qu’ils le sont un peu quand même” <img data-src=" />

votre avatar

ça ne concerne pas Internet mais seulement Chrome. Si la politique de Google ne te convient pas tu peux utiliser d’autres navigateurs.

votre avatar







loser a écrit :



ça ne concerne pas Internet mais seulement Chrome. Si la politique de Google ne te convient pas tu peux utiliser d’autres navigateurs.





C’est beau la naïveté: chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d’entre eux ne savent même pas qu’il existe d’autres navigateurs.


votre avatar

Et alors ? Rien n’empêche les gens de se renseigner…

votre avatar

Et par mesure de sécurité inverse, Symantec va signaler comme non-souhaitée et bloquer toutes les installations sournoises de chrome au travers d’installateur d’autres produits.



On verra qui rigole le premier.

votre avatar

&nbsp;C’est vrai que chrome est à 60% de PDM tous supports confondus. On peut donc voir ça comme un abus de position dominante.

votre avatar

carbier a écrit :

C’est beau la naïveté: chrome a été installé par défaut sur bon nombre de PC sans que leur propriétaire ne comprenne pourquoi et bon nombre d’entre eux ne savent même pas qu’il existe d’autres navigateurs.



Ou alors au premier démarrage du pc, il faudrait proposer à l’utilisateur de choisir parmi une liste de navigateur celui qu’il souhaite… <img data-src=" /> : redface:

votre avatar







wpayen a écrit :



Et par mesure de sécurité inverse, Symantec va signaler comme non-souhaitée et bloquer toutes les installations sournoises de chrome au travers d’installateur d’autres produits.



On verra qui rigole le premier.







c’est pas contre leur produit mais contre les certificats moisis qu’ils produisent, parce que produire des certificats pourrit c’est très grave


votre avatar

Le groupe précise qu’à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur



Que pour Symantec ou pour tous ? Parce que bon les CA délivrent des certificats sur 1 an dans la très grande majorité des cas.

votre avatar

Je comprends bien mais Symantec est un groupe qui pourrait très bien avoir ce genre de réponse.



Et je ne défends pas la politique peu regardante de Symantec sur les certificats, juste que Google n’est pas un gendarme et n’a aucun droit de sanction. Qui plus est au travers d’un outil dont les partes de marchés augmentent artificiellement par des pratiques douteuses.

votre avatar

Il faut bien que quelqu’un le dise quand ça arrive même si la façon de procéder est un peu cavalière. Google s’immisce de plus en plus à toutes les étapes de la chaîne.

votre avatar







tifounon a écrit :



Le groupe précise qu’à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur



Que pour Symantec ou pour tous ? Parce que bon les CA délivrent des certificats sur 1 an dans la très grande majorité des cas.



Seulement les Symantec, ce sont eux qui posent le problème de confiance <img data-src=" />







wpayen a écrit :



Je comprends bien mais Symantec est un groupe qui pourrait très bien avoir ce genre de réponse.



Et je ne défends pas la politique peu regardante de Symantec sur les certificats, juste que Google n’est pas un gendarme et n’a aucun droit de sanction. Qui plus est au travers d’un outil dont les partes de marchés augmentent artificiellement par des pratiques douteuses.



Ce n’est pas une sanction, mais un revers. Ils veulent juste empêcher de voir la sécurité de leur navigateur réduite à cause des conneries d’une boîte tierce qui fait n’imp.


votre avatar

C’est en changeant d’antivirus que je me suis rendu compte que l’autorité de certification changeait. Je ne savais pas qu’un même site web sécurisé pouvait avoir plusieurs autorités de certification et surtout que l’autorité de certification utilisée par le navigateur de l’utilisateur pouvait changé selon l’antivirus qu’il avait préalablement installé.

votre avatar

Tiens donc.

Et toujours pas de navigateur sur le marché qui laisse le choix des CA à l’utilisateur ? (De manière durable).

votre avatar

C’est pas plutôt ton nouvel antivirus qui intercepte le trafic HTTPS ?



Apparemment ça se fait de plus en plus…

votre avatar







wpayen a écrit :



Je comprends bien mais Symantec est un groupe qui pourrait très bien avoir ce genre de réponse.



Et je ne défends pas la politique peu regardante de Symantec sur les certificats, juste que Google n’est pas un gendarme et n’a aucun droit de sanction. Qui plus est au travers d’un outil dont les partes de marchés augmentent artificiellement par des pratiques douteuses.





Ouais mais bon symantec fait des certificats pourrit, personne ne lui dit rien ou presque, à un moment il faut bien les réveiller.


votre avatar

C’est sûrement ça (je ne m’y connais pas assez), le nom de l’émetteur du certificat du site web sécurisé SSL avait changé et l’antivirus a une fonction de filtrage du protocole SSL/TLS.

votre avatar

Le problème de symantec c’est que c’est pas la première fois qu’il se font gauler pour ça.

votre avatar

Google a été mandaté par être le gendarme d’Internet ?

votre avatar

Pourquoi carrément invalider les certificats plutôt qu’ajouter un icône/message/autre pour indiquer à l’utilisateur un niveau de “confiance by Google” ?



Parce que là ca fait couche supplémentaire aux magasins de certificat système, c’est un peu con…

votre avatar

Ils font ce qu’ils veulent dans leur navigateur. Personne n’oblige à utiliser Google Chrome ;)



Et franchement, à part eux, il n’y a personne qui ose recadrer les CA quand elles font de la merde.

Google Chrome réduit sa confiance dans les certificats TLS de Symantec

  • Symantec accusé d'être trop peu regardant

  • Des certificats avec une validité maximale de neuf mois

  • Le propriétaire d'un certificat Symantec bientôt masqué

  • Symantec récuse les accusations de Google

Fermer