Une autorité de certification est un élément important de la chaine de sécurité. Elle fournit des certificats, autrement dit des signatures électroniques servant de preuve qu’une entité est bien ce qu’elle prétend être. Lorsque vous visitez un site web et que le navigateur affiche un symbole vert dans la barre d’adresse, il vous indique en fait que le site est authentique et qu’il ne s’agit donc pas d’une tromperie.

Des certificats antidatés pour éviter le rejet du SHA-1

Mais si l’autorité de certification n’est pas digne de confiance (via une liste précise de critères), tout peut être remis en question. C’est ainsi que Mozilla s’apprête à bannir l’autorité chinoise WoSign pour avoir adopté des comportements problématiques. Le plus important est la diffusion de vieux certificats SHA-1, alors que ces derniers, jugés peu fiables, ont été remis au rebut par l’ensemble des éditeurs de navigateurs, avant une date limite fixée au 1er janvier 2016. La solution adoptée par WoSign selon Mozilla ? Les certificats sont antidatés à décembre 2015.

Le rejet systématique a cependant des exceptions. Les éditeurs qui passent à travers un processus complexe et strict peuvent quand même faire valider leurs anciens certificats SHA-1, en montrant patte blanche. Ce fut par exemple le cas de Symantec pour neuf certificats. WoSign, selon Mozilla, a refusé cependant de passer par ce sas de validation. Mais si l’autorité a vraiment antidaté ses précieux sésames, c’est évidemment qu’elle comptait faire comme si tout était normal. Dès lors, pourquoi passer par un processus d’exception ?

Un rachat nié par WoSign

Autre point souligné par Mozilla : WoSign aurait racheté en secret une autorité de certification israélienne, StartCom. Or, la société chinoise nie cette opération, alors que Mozilla fournit un certain nombre d’éléments, indiquant que le rachat a été finalisé le 1er novembre 2015, soit deux mois avant l’entrée en vigueur du blocage des certificats SHA-1. En outre, Mozilla indique que StartCom a commencé à diffuser des certificats via l’infrastructure de WoSign après son rachat, avec la même « astuce » en 2016 : ils seraient antidatés.

Un lâcher de vieux certificats en juin dernier

L’enquête de Mozilla est remontée jusqu’à Tyro, une plateforme de paiement qui a essentiellement travaillé avec l’autorité GeoTrust pendant plusieurs années. En juin dernier, elle s’est mise tout à coup à utiliser un certificat SHA-1 provenant de StartCom, de qui Tyro n’avait jamais rien acheté. Ce dernier apparaissait comme ayant été signé le 20 décembre 2015.

En creusant un peu plus, Mozilla a découvert qu’un certain nombre d’entreprises avaient déployé des certificats StartCom au début de l’été. Pour le père de Firefox, il s’agissait d’un signal clair qu’ils étaient antidatés, car il n’existait pas de raison valable pour expliquer un tel écart entre leur signature en décembre et leur utilisation en juin. La manière dont ils étaient soudainement utilisés laissait penser qu’une réserve avait tout simplement été mise de côté en attendant d’être exploitée plus tard.

Un bannissement d'un an, voire définitif

Mozilla a fini par lister un certain nombre d’incidents de ce type. Un bannissement d’un an sur tout ce qui proviendrait de WoSign et StartCom a donc toutes les chances d'être décrété, en réponse à une volonté de tromper sur la sécurité de ses certificats. Ce blocage ne concerne que les nouveaux certificats qui seront émis, et non ceux en cours d’utilisation. Si Firefox rencontre un nouveau certificat WoSign ou StartCom, il considérera donc que la connexion n’est pas sécurisée.

De plus, une série de tests sera imposée aux deux entreprises. Si elles ne les passent pas - que ce soit par refus ou par défaut technique quelconque – Mozilla envisage sérieusement un bannissement permanent. L’éditeur rappelle dans un document qu’une autorité de certification cherchant à tromper ses clients, les navigateurs et les utilisateurs risque de briser l’intégralité de la chaine de confiance.

Les autres éditeurs ont été contactés

Bien sûr, on peut se demander si une décision seule par Mozilla peut avoir un impact réellement significatif sur la situation. Mais l’éditeur a déjà signalé le problème aux autres entreprises produisant des navigateurs. C’est d’ailleurs aussi l’objet du document de synthèse publié : indiquer aux différents acteurs potentiellement impliqués pourquoi il faut bannir pendant au moins un an WoSign et StartCom.

WoSign, de son côté, indique que les certificats « fautifs » seront révoqués au plus tard le 31 décembre de cette année. Selon l’entreprise, le délai tiendrait au temps qu’il a fallu pour répercuter la décision de ne plus émettre de certificat SHA-1. Mozilla s’étonne pour sa part d’un tel écart, jugeant le changement relativement simple à mettre en place.