23 000 utilisateurs perdent leurs certificats SSL DigiCert à cause d’une fuite de clés privées
Le scandale a commencé quand DigiCert (un grand émetteur de certificats de sécurité) a envoyé un e-mail à plus de 23 000 clients du revendeur Trustico pour les informer que leurs certificats allaient être annulés.
La raison de cette révocation, selon DigiCert, est un e-mail contenant les clés privées de ces certificats qui leur a été envoyé par Trustico.
Vu que la diffusion de ces informations compromet la sécurité des sites concernés en les rendant vulnérables au piratage, DigiCert n’a pas eu d’autre choix que de respecter les normes imposées par l’Autorité de Certification et d’annuler les 23 000 certificats sous 24 heures par mesure de précaution.
Ce qui étonne particulièrement dans cette situation est la possession de ces clés par Trustico. Selon le chef de produit de DigiCert, le revendeur n’a jamais expliqué comment ses équipes sont entrées en possession des clés privées.
Or, ces clés sont censées être secrètes et seulement détenues par les propriétaires de certification. Pour des raisons de sécurité, la compagnie n’est pas censée avoir accès à ces informations, et encore moins, les stocker ou les divulguer dans des messages. Tombés entre de mauvaises mains, ces informations peuvent être utilisés par des sites malveillants pour se faire passer pour des opérations légitimes.
Pourquoi les clés privées ont été divulguées ?
DigiCert affirme que début février Trustico leur a annoncé que 50 000 des certificats qu’ils avaient revendus avaient été "compromis" et que pour cette raison ils devaient être révoqués en masse.
Par conséquent les équipes de DigiCert ont demandé au revendeur plus d'informations sur ce problème de sécurité. Trustico a alors répondu qu'il avait une copie des clés privées d’une partie des certificats.
Quand il a été pressé de fournir des preuves, le revendeur a simplement envoyé par e-mail les clés privées de 23 000 certificats pour prouver qu'il détenait cette information. Cela a forcé la main de DigiCert qui а été obligé d’annuler ces certificats.
Les mesures prises par DigiCert
DigiCert a alors envoyé un e-mail à tous les clients concernés de Trustico sans demander la permission préalable de ce dernier.
Dans leur message, l’entreprise de sécurité prévient les internautes que leurs certificats seront annulés sous 24 h et que s’ils ne les remplacent pas, une alerte de sécurité s’affichera sur leurs sites.
Cette mesure n’a pas été bien accepté par Trustico qui affirme qu’il n’avait jamais informé DigiCert que la sécurité des clés privées avait été compromise.
Trustico dit que les 50 000 certificats dont ils voulaient l’annulation avaient été demandées pas Symantec. Cette dernière compagnie a été rachetée par DigiCert en août dernier après que Google ait annoncé qu’ils n’accepteront plus leurs certificats à cause d’incidents de sécurité répétés. Maintenant, Trustico dit qu'il a perdu confiance dans Symantec (et indirectement dans DigiCert) pour gérer correctement leur infrastructure.
>> LISEZ AUSSI: Chrome va suspendre les certificats Symantec
Une guerre de territoire ?
Les deux entreprises ont annoncé qu’elles offriraient gratuitement des certificats de remplacement aux personnes touchées par la fuite. L’incident va sans doute se terminer par des sanctions pour une des deux entreprises ou les deux…
Mais, en fin de compte, les propriétaires des sites web ont été pris dans une guerre de territoire entre Trustico et DigiCert.
Quelle alternative ?
Avec les récents événements les autorités de certifications SSL semblent de moins en moins dignes de confiance.
Voilà pourquoi nous travaillons exclusivement avec l’entreprise GlobalSign, numéro 2 mondial du secteur.
Leurs services d'identité et de sécurité sont gérés par une solide infrastructure contrôlée par WebTrust, avec des centres de données mondiaux, une redondance à tous les niveaux et une haute disponibilité.
Afin d’en savoir plus, consultez nos offres de certificats SSL et faîtes de la sécurité votre priorité numéro 1 en 2018 !