Plus tôt cette semaine, nous révoqué notre confiance en l’autorité de certification DigiNotar de tous les logiciels Mozilla. Ce n’est pas une suspension temporaire, c’est une élimination complète de notre programme de racines de confiance. La révocation complète de la confiance est une décision que nous traitons avec une attention minutieuse et employons en dernier recours.

Trois problèmes principaux ont fondé notre décision :

  1. Le défaut d’information. DigiNotar a détecté et révoqué certains des certificats frauduleux il y a 6 semaines sans en avertir Mozilla. Cela est particulièrement troublant puisque certains de ces certificats ont été délivrés pour notre propre domaine addons.mozilla.org.
  2. L’étendue de la brèche demeure inconnue. Alors que nous avons été d’abord informé par Google qu’un certificat frauduleux *.google.com avait été délivré, DigiNotar a finalement confirmé que plus de 200 certificats avaient été délivrés contre plus de 20 domaines différents. Nous savons maintenant que les agresseurs ont également délivré des certificats depuis d’autres certificats intermédiaires de DigiNotar sans journalisation correcte. Il est donc impossible pour nous de savoir combien de certificats frauduleux existent ou les sites qui sont ciblés.
  3. L’attaque n’est pas théorique. Nous avons reçu plusieurs rapports signalant que ces certificats étaient utilisés dans la nature.

Mozilla a une longue histoire de collaboration avec les autorités de certification pour aborder les défis techniques communs, ainsi que de réagir à et de contenir les brèches quand elles surviennent. Dans un incident survenu plus tôt cette année, nous avons travaillé avec Comodo à bloquer un ensemble de certificats mal délivrés qui avaient été détectés, contenus et signalés à nous immédiatement. Dans le cas DigiNotar, en revanche, nous n’avons aucune certitude que le problème ait été contenu. En outre, leur absence de notification nous laisse profondément préoccupé par notre capacité à protéger nos utilisateurs contre de futures brèches.

Les certificats Staat der Nederlanden

DigiNotar délivre des certificats dans le cadre du programme PKIoverheid (PKIgouvernement) du gouvernement néerlandais. Ces certificats sont délivrés par un autre intermédiaire contrôlé par DigiNotar et validés par l’autorité de certification du gouvernement néerlandais (Staat der Nederlanden). La Computer Emergency Response Team du gouvernement néerlandais (GovCERT) a indiqué que ces certificats sont délivrés indépendamment des autres processus de DigiNotar et que, d’après leur évaluation, ces derniers n’avaient pas été compromis. Le gouvernement néerlandais a donc demandé que nous exemptions ces certificats du retrait de la confiance, ce dont nous sommes convenus de faire dans notre mise à jour de sécurité initiale du début de cette semaine.

Le gouvernement néerlandais a depuis vérifié les performances de DigiNotar et a annulé cette évaluation. Nous avons maintenant supprimé l’exonération de ces certificats, ce qui signifie que tous les certificats de DigiNotar seront non fiables pour les produits Mozilla. Nous croyons que les autres éditeurs de navigateurs font des changements similaires. Nous travaillons également avec nos localisateurs néerlandais et le groupe Bits of Freedom aux Pays-Bas pour contacter les opérateurs de chaque site utilisant les certificats touchés (basée sur les données de l’observatoire SSL de l’EFF).

L’intégrité du système SSL ne peut pas être maintenu dans le secret. Des incidents comme celui-ci démontrent la nécessité d’une communication active, immédiate et globale entre les autorités de certification et les éditeurs de logiciels pour maintenir nos utilisateurs communs en sécurité en ligne.


Johnathan Nightingale
Directeur de l’ingénierie de Firefox

Sources et références