Comment une faute de frappe a menacé des dizaines de milliers de certificats ?

La semaine dernière, DigiCert, l'ancien fournisseur de certificats de Belnet, a annoncé devoir révoquer ses certificats EV. Cette annonce a eu un impact majeur sur Belnet mais aussi sur de nombreuses organisations de sa communauté. Pourquoi DigiCert a-t-il dû prendre cette mesure drastique?

L'un des principaux avantages d'Internet tel que nous le connaissons aujourd'hui est le degré de liberté, le nombre de possibilités et la libre expression qu'il offre à chacun d’entre nous. La nature démocratique d'Internet, son niveau de liberté et d'accessibilité, permettent à de nombreuses personnes de l'utiliser quotidiennement, sans beaucoup de difficultés, mais aussi sans aucune forme structurée d'identification ou d'authentification. L'anonymat dont jouit un utilisateur lors de sa navigation sur le Web a des conséquences. Les gens sont francs et sans contraintes, expriment leurs opinions, et certains ne tardent pas à en abuser.

Des certificats pour garantir la fiabilité

Une méthode de certification a été établie pour assurer aux utilisateurs qu’ils ne sont pas induits en erreur lorsqu’ils accèdent à un service Web. Ces certificats peuvent être acquis auprès d'institutions de confiance et ont plusieurs niveaux de sécurité ou de validation. Afin de continuer à garantir la confiance, ces institutions doivent être validées elles-mêmes fréquemment.

Dernièrement, une de ces étapes de validation a été incorrectement enregistrée et certaines machines de validation ont été exclues du processus d'audit. Cette erreur a été constatée par un employé de Google et communiquée publiquement. Cela a pour conséquence que les certificats émis par ces machines non validées ne sont plus fiables. Il s'agit des certificats de type "Extended Validation" (certificats EV).

D’importantes conséquences

Plusieurs institutions de confiance (également appelées autorité de certification ou CA) sont concernées. DigiCert, l'autorité de confiance qui délivrait les certificats pour les clients de Belnet, a immédiatement pris des mesures et envoyé une communication le 8 juillet dernier, annonçant devoir révoquer les certificats EV concernés dans le délai documenté, qui est de 7 jours. En raison des étapes supplémentaires de sécurité et de validation, il restait très peu de temps pour prendre les mesures nécessaires pour se protéger rapidement contre les abus de confiance.

Concrètement, les propriétaires de ces certificats EV devaient demander un nouveau certificat pour remplacer les anciens certificats EV, en passe d’être révoqués. Belnet ayant récemment changé de fournisseur de certificats (de DigiCert à Sectigo), les nouveaux certificats ont dû être demandés chez Sectigo. Bien que nous n'ayons pas pu demander ces certificats à la place de nos clients, nous nous sommes efforcés de les aider et les soutenir du mieux que nous pouvions.

Copyright © 2020 Belnet.