Certificats SSL serveur cassés par des consoles de jeu Playstation : le point
08/01/2009
Le moyen le plus couramment utilisé pour sécuriser des transactions et des échanges de données personnelles (coordonnées, numéro de carte bancaire) sur le web est la sécurisation par un certificat électronique dit SSL. l’internaute sait qu’il est sur un site sécurisé par un certificat SSL quand sa connexion passe en « https », et qu’un cadenas s’affiche dans la fenêtre de son navigateur. Une actualité effrayante sur une faille de sécurité affectant certains certificats électroniques sécurisant des sites Internet est visible sur de nombreux journaux depuis quelques jours : ces certificats seraient assez facilement attaquables. Qu’en est-il ?
Les faits Une équipe de chercheurs suisses, hollandais et américains a mis en évidence une faille de sécurité sur certains certificats électroniques, en créant une vraie-fausse autorité de certification reconnue par les navigateurs (Internet Explorer et Mozilla, par exemple). Cette vraie-fausse autorité de certification aurait pu servir à émettre des certificats électroniques, reconnus aussi par des navigateurs, comme sur tout site de banque en ligne ou d’e-commerce, par exemple. Vous pourriez donc « naviguer » sur des sites de vente en ligne présentant un certificat électronique SSL qui a l’air correct, mais qui n’offre aucune garantie sur l’identité réelle des possesseurs du site Internet.
Les certificats émis par CertiNomis sont-ils concernés par cette faille ? Non. Sans entrer trop dans la technique, cette attaque a été réalisée à partir d’autorités de certification racines utilisant l’algorithme md5 (md5RSA) comme fonction de hachage. Cet algorithme est reconnu à risque depuis des années. Il est encore utilisé par quelques Autorités de Certification à l’étranger.
Les certificats racine et certificats électroniques de CertiNomis ou émis par CertiNomis utilisent l’algorithme SHA1 ( pour « SHA 160 »), différent, donc, du md5. On ne peut donc pas, par la même méthode, usurper la signature de CertiNomis et créer un « vrai-faux » certificat émis par nos soins. A terme, il est préconisé de remplacer SHA1 par des algorithmes plus forts (SHA2ou 256, et supérieur). CertiNomis évoluera toujours pour vous offrir la meilleure information et la meilleure sécurité possible.
Comment savoir si un site présente un certificat présentant cette faille de sécurité ? Voici comment afficher le certificat serveur SSL d’un site web, et comment vérifier les informations qui y sont contenues (le mode d’affichage peut différer suivant votre navigateur et sa version).
1. Faire un double clic sur le cadenas. Une fenêtre de certificat électronique s’ouvre. 2. Cliquez sur l’onglet « détails », puis vérifier la ligne « algorithme de signature ». C’est noté sha1RSA, ou sha2 ? Pas de soucis. C’est noté md5 ? Mauvais signe. certificat serveur du site Internet www.certinomis.com
3. Allez dans l’onglet « chemin d’accès de certification ». Vous voyez une série de certificats : le plus haut est le certificat « racine », et s’il y a un certificat entre les deux c’est un certificat intermédiaire (et une autorité de certification – au sens technique – intermédiaire). Cliquez successivement sur le certificat racine et le(s) certificat(s) intermédiaire(s), puis cliquez sur le bouton « afficher le certificat ».
4. Vérifiez les mêmes informations qu’au point (2). Si md5 n’apparaît nulle part, ce certificat n’est pas concerné par la faille de sécurité décrite. Si « md5 » apparaît, évitez de saisir toute information personnelle ou toute coordonnée bancaire sur ce site. Attendez que son administrateur ait le temps de changer de certificat, ou n’y revenez plus.
