Autorités de certification et sécurité sur le Web (rappels utiles…)

Le Web repose avant tout sur la notion de confiance. Sans elle, aucun site Web ou service en ligne ne peut survivre dans une économie du Net caractérisée par une concurrence acharnée.
Pour instaurer cette confiance, il existe des systèmes permettant aux propriétaires de domaines de démontrer la fiabilité et l’authenticité de leur site ou service Web aux yeux des internautes. Seul bémol, ces systèmes font de plus en plus souvent l’objet d’attaques.

L’année 2011 a été marquée par toute une série de violations de sécurité. Leur cible ? Les systèmes vitaux des autorités de certification (AC), ces entreprises chargées d’attester de la sécurité des sites Web et autres services en ligne. Pour les cyber-entreprises, y compris les plus grands noms du Web, ces attaques se sont soldées par une érosion de la confiance des clients et utilisateurs.
À l’évidence, face aux évolutions de la situation sécuritaire sur Internet, on observe degrands écarts entre les différentes AC. En d’autres termes, il est primordial de faire le bon choix. Après tout, il en va de la sécurité et de la réputation de votre entreprise sur la Toile.

Le rôle des autorités de certification (AC)

Si la généralisation d’internet à travers toute une palette d’applications présente de nombreux avantages, ce succès élargit de façon considérable les publics de cibles potentielles des cybercriminels. Pour parvenir à leurs fins, ces individus ont recours à tout un arsenal de techniques d’attaques :

  • Ingénierie sociale, liens frauduleux et autres moyens de rediriger les utilisateurs vers des sites en apparence identiques à ceux qu’ils utilisent fréquemment.
  • Incitations à révéler, sciemment ou inconsciemment, des informations confidentielles qui pourront ensuite être exploitées à des fins frauduleuses.
  • Installation de maliciels, ces logiciels malveillants qui mettent l’ordinateur de n’importe quel utilisateur au service des cybercriminels.
  • Usurpation d’adresse IP (spoofing), qui permet aux cybercriminels de se faire passer pour autrui lors de l’envoi d’e-mails à partir du domaine usurpé, ou d’espionner les communications.

Le problème ne concerne pas uniquement le grand public. Ces techniques peuvent en effet également servir à compromettre la sécurité des systèmes de messagerie internes des entreprises, ce qui les rend vulnérables aux actes d’espionnage industriel. Hormis leurs conséquences néfastes pour les utilisateurs, ces violations de sécurité constituent une atteinte à la réputation du site victime. Dès lors que l’utilisateur ne se sent plus en sécurité, la confiance est rompue.

Comment un internaute peut-il juger du sérieux d’un site ?

Heureusement, les internautes sont de plus en plus sensibles aux questions de confiance et de sécurité des sites visités. Sans connaître le détail exact des menaces auxquelles ils sont exposés sur un site malveillant ou piraté, ils savent néanmoins reconnaître les marques de fiabilité d’un site :

  • L’icône du cadenas : symbole le plus couramment utilisé par les sites qui souhaitent afficher leur sérieux, le cadenas s’affiche en présence d’un préfixe « https » dans l’adresse de la page Web, en lieu et place du traditionnel « http ».
  • Barre d’adresse verte : plus récemment, les utilisateurs ont découvert que le fond vert d’une partie de la barre d’adresse garantissait un niveau de sécurité encore supérieur.

Que se passe-t-il en coulisses ?

Le préfixe « https » indique que la page est consultée via une connexion sécurisée entre le navigateur et les serveurs du propriétaire du site. En combinant les protocoles HTTP standard et SSL (Secure Sockets Layer), le protocole HTTP Secure (HTTPS) indique que les serveurs du site consulté ont été authentifiés à l’aide d’un certificat SSL.

Gage de sécurité supplémentaire, le fond vert d’une partie de la barre d’adresse atteste du sérieux des procédures de contrôle et d’authentification adoptées par le propriétaire pour garantir la légitimité de son site. Le certificat SSL Extended Validation (EV) utilisé dans ce cas de figure est reconnu en tant que tel par le navigateur — d’où le vert de la barre d’adresse et l’affichage d’informations complètes sur les opérateurs du site en question.

Qu’est-ce qu’une AC et comment fonctionnent les certificats ?

L’autorité de certification (AC) est l’entreprise qui émet les certificats SSL et SSL EV. Pour connaître le nom de l’AC émettrice d’un certificat, il suffit de cliquer sur le cadenas en regard de l’adresse du site.
Les certificats SSL utilisent un système de clés publiques et privées pour établir une connexion sécurisée entre un ordinateur et les serveurs d’un site Web. Ils prouvent ainsi que la clé publique signée, associée au site visité, appartient effectivement au propriétaire du site. L’autorité de certification signe la clé publique à l’aide de sa propre clé privée. La fiabilité des clés publiques que l’AC valide dépend donc étroitement de sa capacité à protéger efficacement cette clé privée.

Lors de la consultation d’un site protégé par un certificat SSL, le navigateur de l’utilisateur et le serveur du site effectuent une « négociation SSL » (handshake) avant de pouvoir lancer la session. Lors de cette opération, le navigateur commence par demander un certificat. Après réception et vérification de celui-ci, le navigateur génère un code appelé clé principale (master key), puis crypte celle-ci à l’aide de la clé publique associée au certificat. Ensuite, il renvoie la clé principale cryptée au serveur du site. Étant donné que ce serveur possède la clé privée ayant servi à générer la clé publique, il peut déchiffrer la clé principale qu’il utilisera pour authentifier un message qu’il renverra au client. La négociation SSL est alors terminée et les deux parties peuvent communiquer en toute confiance dans le cadre d’une session sécurisée.

Il existe différents types de certificats SSL pour chaque niveau de sécurité recherché :

  • Les certificats SSL de validation de domaine (entrée de gamme). L’AC envoie un e-mail à une adresse associée à l’administrateur du site. L’administrateur utilise un lien ou jeton d’authentification fourni dans l’e-mail pour valider son domaine. Le certificat SSL est alors émis sur cette base. Toutefois, rien ne garantit l’authenticité du demandeur.
  • Les certificats SSL avec authentification intégrale. Pour attester de la légitimité de l’entreprise, l’AC aura authentifié l’entreprise, vérifié qu’elle est bien le propriétaire du nom de domaine, et que le demandeur est autorisé à effectuer une demande de certificat au nom de l’entreprise en question.
  • Extended Validation (EV). Les certificats SSL Extended Validation (EV) offrent la preuve la plus tangible de la fiabilité d’un site. Ils indiquent à l’internaute non seulement que le certificat a été émis au terme d’un processus de contrôle rigoureux, mais aussi que l’autorité émettrice a elle-même été soumise à un audit indépendant.

L’EV est née du constat suivant : les certificats SSL ne sont pas tous dignes du même niveau de confiance. Premièrement, il n’existe aucune norme minimale obligatoire pour les certificats SSL, et deuxièmement, de nombreuses petites AC ou autorités d’enregistrement revendent les certificats racine des grandes AC à bas prix. Certains de ces intermédiaires sont d’ailleurs à l’origine des problèmes qui sont apparus.

Comment les AC se sont-elles retrouvées prises pour cible ?

L’année 2011 aura été marquée par une inquiétante vague d’attaques dirigées contre les AC. Certes, les systèmes des plus robustes d’entre elles n’ont pas été compromis car, en la matière, fiabilité et prix sont étroitement liés. En revanche, c’est au niveau de la sécurité du dispositif des intermédiaires que des manquements ont pu être constatés. Conséquences : des problèmes pour leurs partenaires et, plus grave, pour leurs clients.

Une AC doit avoir pour priorités absolues :

  • Le renforcement continu de l’infrastructure de protection de ses clés cryptographiques
  • La sécurisation du processus d’authentification et de validation des identités

Or, comme les récents événements nous l’ont tristement rappelé, la circulation de certificats bidon et l’insuffisance des mesures de sécurité de certaines AC ont exposé le trafic SSL crypté à des risques accrus. Ainsi, en cas de doute, il convient de traiter avec la plus grande circonspection tous les certificats – y compris les certificats authentiques émis par ces AC. Quant aux AC elles-mêmes, le risque est tout simplement de devoir mettre la clé sous la porte.

Le marché actuel des certificats SSL n’impose aucune norme minimale. Certes, le facteur prix joue un rôle primordial dans le processus d’achat. Mais comme les nombreuses violations d’AC nous l’ont démontré, le critère tarifaire ne représente qu’un des nombreux facteurs à prendre en compte dans le choix d’une AC.

Lors de l’évaluation d’une AC, il est conseillé d’étudier l’historique de sa cote de confiance et de sécurité. Cette année, plusieurs AC ont dû interrompre leurs émissions de certificats en raison d’attaques ciblées sur leurs systèmes. D’autres étaient, pour leur part, incapables de confirmer ou d’infirmer les allégations d’attaques à leur encontre.
De même, une AC peut être placée sur la liste noire des éditeurs de navigateurs si le niveau de cryptage de ses certificats se révèle insuffisant.

Quelles sont les mesures à prendre pour une AC qui souhaiterait mettre en avant la fiabilité de ses certificats ?

Sans gestion rigoureuse et diligente du dispositif de sécurité entourant les autorités de certification, ces dernières font courir un risque à leurs clients et à l’ensemble des cyber-consommateurs. Comme les dernières attaques nous l’ont tristement rappelé, une AC se doit de maintenir ses clés cryptographiques sous très haute protection. Or, à mesure que cette tâche gagne en complexité, le choix de votre AC devra avant tout se fonder sur sa capacité à maintenir des niveaux de sécurité optimaux.
De leur côté, les clients ne devraient faire appel qu’aux AC réputées pour leur fiabilité, et dont la politique de sécurité est caractérisée par les points suivants :

  • Installations conçues pour résister aux attaques
  • Surveillance des équipements et robustesse de la sécurité réseau
  • Site protégé par un dispositif de contrôles d’identité biométriques, avec doubles contrôles d’accès aux systèmes stratégiques
  • Systèmes matériels de signature cryptographique des certificats
  • Mise en œuvre de doubles contrôles pour l’émission de tous les certificats affichant le nom de l’AC
  • Application de bonnes pratiques pour l’authentification des propriétaires de domaines
  • Audits indépendants réguliers

 

Quelles perspectives d’avenir ?

Toutes les AC ne se valent pas. Certaines sont en effet plus vulnérables que d’autres, et les pirates et autres hackers œuvrant pour le compte de certains États n’ont pas tardé à s’engouffrer dans la brèche. Les propriétaires de sites Web doivent donc prendre toute la mesure de la situation.

La transition progressive des applications client classiques vers des applications en mode Cloud entraîne une hausse des transferts de données en général, et des informations sensibles en particulier. Or, toutes ses informations doivent transiter en toute sécurité et en toute confiance aux yeux vos clients. Pas facile quand on sait qu’une AC mal choisie met en danger non seulement vos clients, mais également vos données internes – e-mails, documents, feuilles de calcul et communications unifiées. Le risque pour l’entreprise n’est donc pas anodin.

Pour accéder aux systèmes des AC, les attaquants n’hésitent pas à recourir à tout un arsenal d’outils, comme en attestent les dernières attaques en date. Les AC doivent par conséquent évoluer en permanence pour conserver un coup d’avance – il en va de leur intérêt et de celui de leurs clients.

L’autorité de certification que vous choisissez devra impérativement posséder une infrastructure à la hauteur de ces défis, et mettre en œuvre les moyens appropriés de prévention et de neutralisation des attaques. Les dispositifs de sécurité en place devront être suffisamment complets et variés. Chaque maillon de la chaîne devra être passé au crible, car l’enjeu est trop important pour se contenter de demi-mesures.