Google rejette en bloc les certificats de sécurité du chinois CNNIC
Toujours se méfier du chat qui dort
Le 02 avril 2015 à 08h50
5 min
Internet
Internet
La semaine dernière, une autorité de certification avait produit au moins un certificat au nom de Google pour une utilisation que la firme de Mountain View était loin d’accepter. La conséquence est radicale : Google vient de bannir l’ensemble des certificats produits par CNNIC, au risque de provoquer toute une série de problèmes chez les utilisateurs. Mozilla se prépare de son côté à une action plus nuancée.
Un certificat généré au nom de Google, sans son autorisation
Rappel des faits. MCS Holdings, une autorité intermédiaire de certification opérant pour le compte de l’entreprise chinoise CNNIC (China Internet Network Information Center) a généré un certificat estampillé Google. Ce dernier a été utilisé dans un proxy agissant comme un « homme au milieu », capable de lire les transmissions de données sécurisées. Il s’agissait a priori pour CNNIC de mettre en place un équipement qui permettrait de vérifier ce qui entrait et sortait de son entreprise, donc de vérifier l’activité des employés et les échanges avec les clients. Un point sensible actuellement, comme l’ont montré en France les recommandations de la CNIL très récemment.
Le problème est que le certificat de sécurité a été généré au nom de Google sans aucune autorisation. La colère de l’entreprise ne s’est pas fait attendre : si toutes les autorités de certification se mettaient à créer de fausses preuves d’identité, comment être sûr finalement qu’un site est bien ce qu’il prétend être. En fait, comme nous l’indiquait justement Stéphane Bortzmeyer de l’Afnic la semaine dernière, les autorités sont des entreprises, donc gouvernées par des impératifs commerciaux. Si l’une d’entre elles refuse de délivrer un certificat, le client peut très bien s’adresser à un autre.
Google rejette les certificats racines de CNNIC
Google avait annoncé dans un premier temps que le fameux certificat avait été révoqué et qu’une mise à jour serait rapidement envoyée vers Chrome pour modifier la liste de ceux acceptés. Mais l’éditeur va finalement beaucoup plus loin : il rejette l’ensemble des certificats racines de CNNIC. Cette décision radicale a pour conséquence le rejet par cascade de tous les certificats qui auraient été générés par l’entreprise.
Une coupe d’autant plus franche que CNNIC est l’une des plus grosses autorités chinoises et que Chrome représente 52 % de parts de marché dans l’empire du milieu, loin devant les 23 % d’Internet Explorer. Les utilisateurs risquent donc de subir la décision de Google, même s’ils ont encore un peu de temps puisqu’il faudra attendre une mise à jour de Chrome pour que la mesure prenne effet.
Dans une mise à jour de son billet de blog original, Google explique que la décision a été discutée avec CNNIC. L’entreprise chinoise devrait se lancer dans certains travaux avant d’être considérée à nouveau comme une autorité de confiance par Google. Elle devrait surtout implémenter Certificate Transparency, une initiative de Mountain View visant à gommer certains défauts du processus-même de génération des certificats. Il s’agit globalement de surveiller et de pouvoir auditer en temps réel n’importe quel certificat pour en tester la validité et surtout la légitimité. Dans le cas qui nous intéresse, Certificate Transparency aurait par exemple permis de détecter immédiatement qu’il y avait une erreur puisque le certificat n’avait pas été dûment demandé par Google. Une fois que cette infrastructure aura été mise en place, il ne devrait pas y avoir de raison pour que CNNIC soit laissé de côté.
Des décisions plus nuancées chez Mozilla et Microsoft
La décision reste radicale, nettement plus que pour la concurrence. Firefox et Internet Explorer rejettent ainsi les certificats issus de MCS Holdings, mais pas ceux de CNNIC. Bien que l’un agisse pour le compte de l’autre, la répercussion est donc moindre. Mozilla prépare cependant de son côté des actions complémentaires. L’éditeur discute actuellement des mesures à prendre et, sans rejeter tout d’un bloc, devrait bloquer tous les certificats générés depuis une date donnée, qui reste à définir. La liste complète des certificats valides sera en outre réclamée pour que la communauté puisse la vérifier, et CNNIC devra « postuler » à nouveau après de Mozilla pour recevoir à nouveau sa pleine confiance. Cependant, si l’entreprise devait échouer, Mozilla en révoquerait cette fois les certificats racines, aboutissant alors à la même situation qu’avec Chrome.
Il devrait dans tous les cas y avoir une vraie gêne en Chine pour les utilisateurs puisque les certificats de CNNIC sont utilisés par des banques, des services de commerce et ainsi de suite. Du jour au lendemain, des internautes recevront des messages d’erreur les informant que l’identité de leurs sites ne peut plus être vérifiée. Comme toujours dans ce cas, il sera possible de passer outre l’avertissement, mais le contournement sera fortement déconseillé par le navigateur.
Google indique pour sa part qu’en dehors de la gêne occasionnée, il n’existe a priori pas de danger pour l’instant. Le certificat généré par MCS Holdings a en effet été utilisé en interne et n’est pas sorti du cadre de ce test.
Google rejette en bloc les certificats de sécurité du chinois CNNIC
-
Un certificat généré au nom de Google, sans son autorisation
-
Google rejette les certificats racines de CNNIC
-
Des décisions plus nuancées chez Mozilla et Microsoft
Commentaires (26)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/04/2015 à 09h43
La question : comment ces questions seront-elles gérées par Spartan sous W10 ?
Le 02/04/2015 à 09h44
Ce n’est qu’un blocage temporaire. Dans le même temps, ça motive la CNNIC à se mettre à jour niveau sécurité. Je ne pense pas que ce soit une mauvaise chose !
Le 02/04/2015 à 09h53
Le 02/04/2015 à 10h00
Bonjour, ne trouvant pas le bouton “signaler une faute”, je vous indique donc que “CNNIC devra « postuler » à nouveau après de Mozilla pour recevoir à nouveau sa pleine confiance.”, il manque un ‘u’ :)
Le 02/04/2015 à 10h04
il suffit de cliquer sur le nom de l’auteur pour lui envoyer un message :)
Le 02/04/2015 à 10h20
Le 02/04/2015 à 10h40
Le 02/04/2015 à 10h41
Bonne initiative. Ça recoupe la news d’hier sur la CNIL qui se prononçait sur les entreprises qui créent de faux certificats pour passer outre la sécurisation https://
Le 02/04/2015 à 10h51
Je trouve que les sanctions sont quand même mal adaptée. Google sort le bazooka directement mais au moins cela a le mérite de faire réfléchir les autres.
Est-ce que les autres (Microsoft, Mozilla …) auraient réagit de la même sorte si c’était leur propre certificat qui avait été compromis?
C’est quand même super grave d’avoir imiter celui de google, car bon après on peut diriger les personnes vers n’importe quoi dans leurs recherches voir changer les résultats google à sa convenance.
Le 02/04/2015 à 11h15
Le 02/04/2015 à 11h19
Le 02/04/2015 à 11h44
Le 02/04/2015 à 11h47
En même temps normal. On met en doute la fiabilité des certificat délivré par la société il ne sont donc pas sur.
Le 02/04/2015 à 11h51
Le 02/04/2015 à 11h58
Bizarrement, quand j’ai vu la 1ère news sur le sujet, j’ai eu la même réaction que google sur tout les firefox de mes machines
" />
Le 02/04/2015 à 12h05
Google montre qu’il ne plaisante pas avec les certificats. Ça devrait en dissuader quelques un de faire pareil.
Le 02/04/2015 à 14h32
”…les autorités sont des entreprises…”
Il y a aussi une palanquée de CA de gouvernements ou d’administrations. Qui sont aussi foireux pour l’édition de faux certificats. La fameuse boulette du Ministère des Finances de décembre 2013…. toujours dans le cadre d’un test… et qui a conduit Google à accepter les certificats de la CA ANSII seulement pour certains domaines, et une “sanction” de Mozilla https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certifi…
Le 02/04/2015 à 14h35
D’ailleurs on va bien se marrer tient avec les futures boites noires chez les FAI ets les vrais-faux certificats qui ne manqueront pas d’y être installés…
Le 02/04/2015 à 19h28
Mozilla a pris des mesures:
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/
Et surtout le PDF avec tous les détails:
https://blog.mozilla.org/security/files/2015/04/CNNIC-MCS.pdf
Le 02/04/2015 à 20h53
Oui puis t’as les certificats auto validés aussi :p
Cette aprem j’ai eu un beau cas d’ailleurs, en réinstallant SQL server 2008 r2 au boulot, l’un des services qui refuse de démarrer… Parce que le pare-feu de la boite coupait la demande de vérification :x
Le 03/04/2015 à 17h00
Le 02/04/2015 à 08h59
Google balance la bombe nucléaire à la 1ere alerte sans aucun avertissement… Ca dissuadera surement les autres de faire les couillons.
Néanmoins, est ce que c’est vraiment souhaitable ? Personnellement, ca me gene que Google soit aussi puissant. Meme si dans ce cas précis, leur réaction est parfaitement légitime.
Y’a un vrai problème de confiance sur le net. Que ce soit au niveau DNS, des certifs racine, etc
Malheureusement, le scandale NSA et le PJLRenseignement montrent qu’on ne peut pas vraiment se fier aux gouvernements non plus. C’est chiant et y’a pas beaucoup de solutions…
Le 02/04/2015 à 09h04
Ohhhh, est-ce qu’on va progressivement sortir du système des autorités de certifications géré par des sociétés privées ? (en même temps, je doute que cela soit une bonne idée de confier la gestions des certificats aux l’états…)
Le 02/04/2015 à 09h14
Les sites concernés vont conseiller à leur clients d’utiliser IE ou Firefox et le problème sera réglé oublié
" />
Le 02/04/2015 à 09h15
Le 02/04/2015 à 09h42
Sans aucun avertissement … moui. Ils en ont discuté entre eux quand même. Et la réaction de Google est la plus logique. Si une on ne peut plus faire confiance en une autorité de confiance … ce n’est plus une autorité de confiance.