Dans un article récent, nous évoquions l'évolution du modèle SSL avec diverses initiatives permettant de pallier aux multiples faiblesses du système.
Les lecteurs assidus et avisés savent bien que le navigateur détient une place importante dans le schéma de confiance sous-tendance ce modèle : il a une action de validation, de vérification ainsi que de prévention en alertant l'utilisateur. Il est donc partie prenante du système et peut avoir une action décisive. Pour autant, est-ce à cet intermédiaire qu'il faut confier la responsabilité des évolutions de sécurité ?
Pourquoi évoquer le navigateur ? Car Chrome, le navigateur proposé par Google se propose d'adopter une mesure relativement radicale en changeant en profondeur le mode de validation des certificats.
En bref, les ingénieurs de Google se proposent de ne plus utiliser le système classique de contrôle de la révocation auprès des entités valides que sont, par exemple, les CA ! Ne criez pas au crime, chers utilisateurs, car, bien évidemment, la firme propose des palliatifs.
Plus intéressantes néanmoins sont les raisons évoquées par Google pour affirmer que le système de révocation est en l'état inutile - la comparaison, osée, évoque une ceinture de sécurité qui casse dés qu'on en a besoin - :
=> tout d'abord, ils affirment que le système ne pallie plus du tout aux attaques du moment. En effet, un pirate ayant la capacité d'usurper des certificats de sécurité a clairement les moyens d'altérer le processus de vérification et de contrôle : de tels outils proposent ainsi des mécanismes qui font état d'une erreur réseau (on ne peut pas contacter le serveur pour vérifier) et certains cas sont, par nature, des obstacles à la vérification : les portails captifs des aéroports ou hôtels selon un des responsables de la solution.
Dans ce cas, lorsque une erreur réseau est produite (on parle de soft-fail), la plupart des navigateurs établissent quand même la connexion vers...le site utilisé par le pirate et produisant un certificat usurpé.
=> de plus, la plupart des utilisateurs ignorent sciemment, sans lire ou regarder, les avertissements de sécurité produits par les navigateurs...
Il était donc temps de trouver une solution alternative à cette problématique. La plupart des navigateurs utilisent souvent le système de mise à jour afin de révoquer des certificats ou des CA sur les navigateurs mais cette méthode présente des inconvénients : il faut que des mises à jour soient faites, que le navigateur soit redémarré et surtout, ce n'est pas du tout préventif !
Celle retenue par les équipes de Google se propose donc de faire des mises à jour des certificats de sécurité sur un mode plus "invisible" pour l'utilisateur en "poussant" des listes de certificats révoqués sans nécessité spécifique de mettre à jour ou de redémarrer.
Conscient de la "masse" de révocations éventuelles à traiter, les ingénieurs de Google affirment que la majorité des certificats révoqués le sont pour des raisons administratives et non pour des raisons de sécurité...Dans le cas des révocations "administratives" (date de péremption, non-renouvellement...), les mécanismes habituels suffisent car une attaque est moins à craindre.
Pour les autres, Google propose que les CA mettent en place un système de révocation que le moteur de recherche pourra obtenir en "crawlant" les adresses. Si les raisons de sécurité sont évoquées, le moteur pourra alors filtrer et les listes directement poussées vers les navigateurs seront alors uniquement des "urgences de sécurité".
L'idée de Google apporte donc quelques nouveautés : elle se base dans le continuité du système en essayant de l'améliorer (pour reprendre mes hypothèses de l'article précédent). Elle appelle cependant quelques réflexions :
- la "masse critique" de Google peut être un facteur déterminant dans la réussite du déploiement de cette mesure dont rien ne dit qu'elle ne met pas les autorités de certification dans une position inconfortable.
- en effet, les autorités demeurent le "point d'entrée" de la vérification même si elles ont connu une perte affligeante de légitimité après des attaques réussies. De fait, l'offre de Google les prive de leur rôle de point central tout en leur permettant de continuer à oeuvrer (et à faire des affaires).
- Google prend ici un rôle de "gentil gendarme" tout en se préservant le rôle central, rôle qu'il a déjà dans de nombreux domaines. Si Google devenait à son tour, un validateur effectif des certificats émis, pour son navigateur, il serait, certes responsable, mais avant tout un acteur qui se serait rendu indispensable dans l'écosystème de sécurité d'Internet !
- Notons aussi qu'à la marge, seul son moteur de recherche et son navigateur serait susceptible d'offrir un service de sécurité complémentaire à l'écosystème SSL classique, ce qui lui vaudrait certainement des parts de marché en plus...
Une idée intéressante qui ne nécessite pas tout un nouveau modèle certes mais qui n'est pas sans modifier l'équilibre des pouvoirs du Net. Pour résumer, cette solution est très proche de celle décrite dans l'article précédent sauf que le seul "notary" serait alors...Google !
A suivre attentivement !
Source :
Aucun commentaire:
Enregistrer un commentaire