Sécurité

Apple et Microsoft buck trend refusent de bloquer les certificats racine chinois non autorisés – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Des entreprises comme Apple, Google, Mozilla et Microsoft peuvent se faire concurrence sur les marchés des systèmes d’exploitation et des navigateurs, mais lorsqu’il s’agit de problèmes de sécurité, elles ont tendance à agir de concert. Défauts dans les normes communes, comme OpenSSL, sont généralement corrigés par toutes les parties en peu de temps pour garantir la sécurité des utilisateurs. Il est un peu surprenant de voir Apple et Microsoft rompre avec Google et Mozilla concernant des failles de sécurité récemment révélées avec l’autorité de certification CNNIC.

Réviser: Il y a quelques semaines, des chercheurs en sécurité ont découvert que le Centre d’information sur le réseau Internet chinois (CNNIC) avait indûment transféré l’autorité à un émetteur de certificats intermédiaire et autorisé cette société, MCS Holdings, à émettre des certificats pour les domaines appartenant à Google. C’est une violation fondamentale de la façon dont le système d’autorité de certification est censé fonctionner, et cela a ouvert la possibilité d’attaques de l’homme du milieu (MITM). Google et Mozilla ont tous deux contacté le CNNIC, et a rapporté ce qui suit:

« CNNIC a répondu le 22 pour expliquer qu’ils avaient passé un contrat avec MCS Holdings sur la base que MCS n’émettrait des certificats que pour les domaines qu’ils avaient enregistrés. Cependant, plutôt que de conserver la clé privée dans un HSM approprié [Hardware Security Module], MCS l’a installé dans un proxy man-in-the-middle. Ces appareils interceptent les connexions sécurisées en se faisant passer pour la destination prévue et sont parfois utilisés par les entreprises pour intercepter le trafic sécurisé de leurs employés à des fins de surveillance ou pour des raisons juridiques.

Psssssst :  Internet frappé par des vagues de pannes alors qu'une attaque DDoS massive affecte des services majeurs - High-teK.ca

Main_the_middle

En conséquence, Google et Mozilla ont tous deux décidé de supprimer la confiance pour tout certificat émis par le CNNIC. Cela signifie que chaque fois qu’un navigateur rencontre un certificat signé par cette autorité, il réagit comme si le certificat n’était pas digne de confiance. (La question de savoir si ces invites améliorent réellement la sécurité est un sujet de débat.) Mozilla a déclaré que les actions du CNNIC étaient une « violation flagrante » des politiques de confiance de la Fondation.

Apple et Microsoft ont cependant choisi de réagir différemment et ont poursuivi ce qu’on pourrait appeler la voie médiane. Microsoft a publié un mise à jour de sécurité qui a invalidé les certificats délivrés par MCS Holdings, mais a refusé de prendre des mesures contre CNNIC. La liste des certificats de confiance d’Apple, disponible ici, continue de montrer CNNIC comme une source de confiance, malgré une forte action de Google et Mozilla. Il n’est pas clair si Apple a jamais fait confiance à MCS Holding, car une page archive.org du 6 janvier ne montre pas l’entreprise comme répertoriée sur la page des certificats de confiance d’Apple.

CNNIC a critiqué la décision de Google et Mozilla de la retirer de la liste comme « inacceptable et inintelligible », mais on ne sait pas pourquoi deux grandes entreprises franchiraient cette étape alors que deux autres refusent de commenter la situation. Que cela reflète des accords antérieurs avec le gouvernement chinois ou une approche fondamentalement différente de la sécurité des appareils n’est pas clair pour le moment. En théorie, le blocage des certificats MCS Holdings (comme l’a fait MS) devrait empêcher l’exploitation de l’exploit dans la nature – il est possible que les quatre entreprises soient simplement en désaccord sur la manière de traiter la situation. Cela pourrait créer des bizarreries avec certaines configurations système, dans lesquelles certains navigateurs lancent des erreurs de sécurité tandis que d’autres ne le font pas.

Bouton retour en haut de la page