1 points par GN⁺ 2024-12-01 | 1 commentaires | Partager sur WhatsApp
  • Andrew Ayeragwa14h
    • Une autorité de certification brésilienne est approuvée par Microsoft et a émis un certificat pour google.com, probablement sans autorisation. Cela permettrait d’intercepter le trafic vers Google dans Edge et d’autres applications Windows (à l’exception de Chrome et Firefox). Microsoft connaît bien l’historique des problèmes liés à cette autorité de certification : l’entreprise a fait part de ses inquiétudes en 2021, et d’autres problèmes ont encore été soulevés lors des discussions publiques du CCADB en 2022. Espérons que cet incident déclenchera un changement. Les utilisateurs de Windows méritent mieux.
  • Andrew Ayeragwa12h
    • Comme exemple de l’incompétence de cette autorité de certification : le fait qu’un sujet de certificat contienne un numéro de série de filiale de Google ne signifie pas qu’il a été approuvé par Google. Une autorité de certification peut mettre ce qu’elle veut dans ce champ, et celle-ci ne vérifie manifestement pas correctement le contenu qu’elle inscrit dans les certificats.
  • Andrew Ayeragwa10h
    • Les proxys d’attaque de l’homme du milieu utilisés en entreprise sont extrêmement nuisibles.

1 commentaires

 
GN⁺ 2024-12-01
Avis sur Hacker News
  • ICP-Brasil a officiellement cessé en octobre d’émettre des certificats SSL/TLS publics : https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    Non seulement ils ont contourné l’interdiction d’émettre des certificats publics, mais ils ont aussi enfreint les règles CAA de Google, ce qui est assez grave. J’espère que cette autorité de certification sera définitivement bloquée dans les OS Microsoft.

    • En vérifiant certlm.msc, il semble qu’un hotfix ait déjà été déployé, et je ne vois pas ICP Brasil parmi les autorités de certification racines de confiance.
  • Le pire, c’est que ICP-Brasil, mentionnée dans le rapport de bug, est une entité publique chargée de tout ce qui touche aux signatures numériques.
    Elle intervient jusque dans la signature numérique de contrats ou d’actes, et l’accès aux déclarations fiscales.

    • Contrairement aux navigateurs web, les cas d’usage de signature numérique doivent vérifier la révocation ; révoquer le certificat google.com devrait donc régler le problème.
  • C’est vraiment très mauvais pour l’image. Je pensais que Chrome et Firefox allaient retirer leur confiance à cette autorité de certification, mais ils ne lui faisaient déjà pas confiance.
    Le fait que Microsoft/Windows fasse confiance à une autorité de certification à laquelle les autres grands acteurs ne font pas confiance donne une image encore plus mauvaise de Microsoft.

    • Microsoft a une très mauvaise réputation en matière de sécurité, et c’est à force de faire ce genre de choses qu’elle l’a acquise.
      Il y a peu de chances que cela s’améliore à court terme, et la tendance reste orientée vers le bas.
    • Je ne vois pas bien à quoi sert une autorité de certification web qui n’est pas reconnue par tous les acteurs majeurs.
    • Le fait que cela ait été émis pendant un grand jour férié aux États-Unis ne donne pas non plus une bonne impression, car beaucoup de gens étaient en congé.
    • Ce n’est pas seulement une mauvaise image : c’est tout simplement mauvais.
    • Le plus drôle, c’est que ce n’est que le dernier problème en date lié à cette autorité de certification.
      Auparavant, elle n’était pas considérée comme fiable par défaut et il fallait l’ajouter manuellement au magasin de certificats, mais le gouvernement brésilien insistait pour continuer à l’utiliser sur ses sites officiels.
  • Microsoft semble assez laxiste dans la confiance accordée aux autorités de certification, ses décisions d’inclusion ne sont pas très transparentes, et son magasin de confiance est assez volumineux.
    Tout site web raisonnable utiliserait uniquement des certificats approuvés par les navigateurs, surtout Chrome ; l’intérêt de ces autorités de certification supplémentaires paraît donc limité.
    Je ne suis pas utilisateur de Windows, mais je me demande s’il existe un moyen d’utiliser le magasin de confiance de Chrome dans Windows/Edge. La liste de Microsoft paraît difficile à juger fiable.

    • La raison du manque de transparence, c’est que tout est guidé par l’augmentation des ventes.
    • Dire que « Microsoft semble laxiste dans la confiance accordée aux autorités de certification » est une affirmation assez audacieuse. Cela ressemble à l’exagération typique de HN.
      Je ne cherche pas à défendre MSFT, mais d’après l’expérience de vente d’OS aux gouvernements, personne n’est vraiment au même niveau que Microsoft. J’aurais plutôt tendance à penser que MSFT examine prudemment l’ajout d’autorités de certification.
      Je me demande si vous connaissez DigiNotar, cette autorité de certification approuvée par le gouvernement néerlandais qui a subi un piratage majeur. Son certificat racine avait été ajouté aux magasins de confiance de la plupart des navigateurs et OS avant le piratage, et elle était largement reconnue. Peut-on alors dire que MSFT a fait confiance « laxistement » à l’autorité racine DigiNotar ? À mon avis, on ne peut pas vraiment le dire non plus de Mozilla Firefox.
  • Quand je vois ce genre de choses, je me demande pourquoi les certificats ne sont pas aussi signés par le propriétaire du certificat.
    Aujourd’hui, une autorité de certification peut émettre un certificat pour la clé publique et le domaine qu’elle veut, et une autorité de confiance malveillante peut intercepter tout le trafic.
    Si le certificat contenait non seulement la signature de l’autorité de certification, mais aussi celle du propriétaire de cette clé publique, il me semble que l’autorité de certification n’aurait plus ce pouvoir. Qu’est-ce que je rate ?

    • Dans tous les certificats de cet exemple, la chaîne de confiance repose sur la confiance accordée à un certificat racine malveillant.
      L’autorité de certification, ou un attaquant ayant trompé l’autorité par une fraude dans le monde réel, peut devenir le « propriétaire » de la paire de clés utilisée pour la seconde signature.
    • Ce qui manque, c’est l’infrastructure et les procédures de distribution et de révocation des clés.
      Réutiliser simplement l’infrastructure PKI existante utilisée pour les racines de confiance des autorités de certification ne suffit pas. On pourrait distribuer les clés publiques ou les certificats via DNS, comme avec DANE, mais ce n’est pas simple et il faudrait l’accord des acteurs existants de tout l’écosystème.
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      Sur le fond, j’aime bien l’idée d’ajouter une confiance décentralisée et autogérée au-dessus ou à côté de la PKI centralisée existante pour améliorer la situation actuelle. Cela pourrait servir de tremplin vers une architecture plus systématiquement résiliente.
    • L’objectif central d’une autorité de certification est précisément la vérification des clés publiques.
      Si le propriétaire du certificat dispose déjà d’une clé publique vérifiée pour signer le certificat, l’autorité de certification devient inutile.
  • Je me demande pourquoi le Brésil a réussi à faire reconnaître son autorité de certification par Microsoft. Par exemple, le Kazakhstan[1], lui, n’y est pas parvenu.

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • Parce que le gouvernement brésilien achète des licences Windows en très grands volumes.
  • La solution simple consisterait à ce que des organismes indépendants fournissent des déclarations de confiance sur les autorités de certification, et que l’utilisateur décide s’il accorde sa confiance en prenant en compte les jugements de plusieurs organismes
    Vu que le vecteur d’attaque est aussi clair, il est étonnant qu’une telle structure n’existe pas encore

    • C’est plus proche d’un bug du logiciel client que d’un problème de WebPKI
      Quel que soit le modèle de PKI alternatif que l’on conçoive, on n’échappe pas au problème de Microsoft qui conclut des accords
    • Un plugin de navigateur qui vérifierait plusieurs magasins de confiance au moment de rendre la page devrait être assez simple à créer. Il en existe peut-être déjà un
      Le problème se situe entre le clavier et la chaise. Les utilisateurs ont déjà du mal à comprendre SSL. Les navigateurs ont estimé que les différences entre EV, DV et OV étaient trop complexes et les ont masquées
      Si votre grand-mère ouvre le site de sa banque et que le certificat est jugé fiable par Google, Apple et Microsoft, mais pas par Mozilla, et qu’un plugin de navigateur affiche un indicateur de confiance vert jaunâtre, comment va-t-elle l’interpréter ?
      Malheureusement, la confiance est binaire. Quand votre grand-mère clique sur le favori de sa banque, soit elle voit le site web de la banque, soit elle voit un avertissement effrayant
  • À la seule lecture de l’article original, il est difficile de savoir si cette affaire était une erreur ou quelque chose d’intentionnel

    • Le certificat ayant été inscrit dans CT, il est raisonnable de penser qu’il s’agissait d’une erreur
      Parce qu’il était garanti que cela se verrait, et que cela allait forcément créer une controverse menaçant précisément la fonctionnalité qu’ils avaient mise en place à grands frais
    • Je ne vois pas comment une autorité de certification peut émettre par erreur un certificat pour google.com
      Existe-t-il seulement un scénario non malveillant ?
    • La réponse, c’est la négligence
    • Est-ce que ça change quelque chose ?
  • Ce n’est qu’une supposition, mais cela ressemble à une collusion intentionnelle ou à une coercition entre un gouvernement et une grande entreprise
    Par exemple, le gouvernement brésilien qui demanderait à Microsoft d’autoriser l’accès à des attaques de l’homme du milieu sur les appareils Windows en échange du droit d’exercer dans le pays

    • Cela paraît très peu probable
      Les gouvernements mènent généralement leurs mauvais plans en secret. Ce genre d’affaire est beaucoup trop difficile à faire passer inaperçu pour être une méthode viable. Le fait même que nous lisions cet article sur HN en est un exemple
  • Ce serait bien d’avoir une liste des autorités de certification étatiques ou liées à des États. J’aimerais toutes les supprimer

    • J’en ai dressé une liste partielle l’an dernier [1]
      Il est difficile de déterminer quelles autorités de certification sont exploitées ou contrôlées par un gouvernement. Le nom ne suffit pas toujours à le savoir, une entreprise privée peut agir selon les directives d’un gouvernement, et une autorité de certification peut être légalement tenue de se conformer aux demandes gouvernementales
      Celles qui figurent ici étaient toutes très clairement des organisations gouvernementales ou militaires exploitant une autorité de certification, et l’autorité de certification brésilienne mentionnée ici est la deuxième de la liste
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas