Une autorité de certification brésilienne, approuvée uniquement par Microsoft, a émis un certificat pour google.com
(follow.agwa.name)-
Andrew Ayeragwa14h
- Une autorité de certification brésilienne est approuvée par Microsoft et a émis un certificat pour
google.com, probablement sans autorisation. Cela permettrait d’intercepter le trafic vers Google dans Edge et d’autres applications Windows (à l’exception de Chrome et Firefox). Microsoft connaît bien l’historique des problèmes liés à cette autorité de certification : l’entreprise a fait part de ses inquiétudes en 2021, et d’autres problèmes ont encore été soulevés lors des discussions publiques du CCADB en 2022. Espérons que cet incident déclenchera un changement. Les utilisateurs de Windows méritent mieux.
- Une autorité de certification brésilienne est approuvée par Microsoft et a émis un certificat pour
-
Andrew Ayeragwa12h
- Comme exemple de l’incompétence de cette autorité de certification : le fait qu’un sujet de certificat contienne un numéro de série de filiale de Google ne signifie pas qu’il a été approuvé par Google. Une autorité de certification peut mettre ce qu’elle veut dans ce champ, et celle-ci ne vérifie manifestement pas correctement le contenu qu’elle inscrit dans les certificats.
-
Andrew Ayeragwa10h
- Les proxys d’attaque de l’homme du milieu utilisés en entreprise sont extrêmement nuisibles.
1 commentaires
Avis sur Hacker News
ICP-Brasil a officiellement cessé en octobre d’émettre des certificats SSL/TLS publics : https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
Non seulement ils ont contourné l’interdiction d’émettre des certificats publics, mais ils ont aussi enfreint les règles CAA de Google, ce qui est assez grave. J’espère que cette autorité de certification sera définitivement bloquée dans les OS Microsoft.
certlm.msc, il semble qu’un hotfix ait déjà été déployé, et je ne vois pas ICP Brasil parmi les autorités de certification racines de confiance.Le pire, c’est que ICP-Brasil, mentionnée dans le rapport de bug, est une entité publique chargée de tout ce qui touche aux signatures numériques.
Elle intervient jusque dans la signature numérique de contrats ou d’actes, et l’accès aux déclarations fiscales.
google.comdevrait donc régler le problème.C’est vraiment très mauvais pour l’image. Je pensais que Chrome et Firefox allaient retirer leur confiance à cette autorité de certification, mais ils ne lui faisaient déjà pas confiance.
Le fait que Microsoft/Windows fasse confiance à une autorité de certification à laquelle les autres grands acteurs ne font pas confiance donne une image encore plus mauvaise de Microsoft.
Il y a peu de chances que cela s’améliore à court terme, et la tendance reste orientée vers le bas.
Auparavant, elle n’était pas considérée comme fiable par défaut et il fallait l’ajouter manuellement au magasin de certificats, mais le gouvernement brésilien insistait pour continuer à l’utiliser sur ses sites officiels.
Microsoft semble assez laxiste dans la confiance accordée aux autorités de certification, ses décisions d’inclusion ne sont pas très transparentes, et son magasin de confiance est assez volumineux.
Tout site web raisonnable utiliserait uniquement des certificats approuvés par les navigateurs, surtout Chrome ; l’intérêt de ces autorités de certification supplémentaires paraît donc limité.
Je ne suis pas utilisateur de Windows, mais je me demande s’il existe un moyen d’utiliser le magasin de confiance de Chrome dans Windows/Edge. La liste de Microsoft paraît difficile à juger fiable.
Je ne cherche pas à défendre MSFT, mais d’après l’expérience de vente d’OS aux gouvernements, personne n’est vraiment au même niveau que Microsoft. J’aurais plutôt tendance à penser que MSFT examine prudemment l’ajout d’autorités de certification.
Je me demande si vous connaissez DigiNotar, cette autorité de certification approuvée par le gouvernement néerlandais qui a subi un piratage majeur. Son certificat racine avait été ajouté aux magasins de confiance de la plupart des navigateurs et OS avant le piratage, et elle était largement reconnue. Peut-on alors dire que MSFT a fait confiance « laxistement » à l’autorité racine DigiNotar ? À mon avis, on ne peut pas vraiment le dire non plus de Mozilla Firefox.
Quand je vois ce genre de choses, je me demande pourquoi les certificats ne sont pas aussi signés par le propriétaire du certificat.
Aujourd’hui, une autorité de certification peut émettre un certificat pour la clé publique et le domaine qu’elle veut, et une autorité de confiance malveillante peut intercepter tout le trafic.
Si le certificat contenait non seulement la signature de l’autorité de certification, mais aussi celle du propriétaire de cette clé publique, il me semble que l’autorité de certification n’aurait plus ce pouvoir. Qu’est-ce que je rate ?
L’autorité de certification, ou un attaquant ayant trompé l’autorité par une fraude dans le monde réel, peut devenir le « propriétaire » de la paire de clés utilisée pour la seconde signature.
Réutiliser simplement l’infrastructure PKI existante utilisée pour les racines de confiance des autorités de certification ne suffit pas. On pourrait distribuer les clés publiques ou les certificats via DNS, comme avec DANE, mais ce n’est pas simple et il faudrait l’accord des acteurs existants de tout l’écosystème.
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Sur le fond, j’aime bien l’idée d’ajouter une confiance décentralisée et autogérée au-dessus ou à côté de la PKI centralisée existante pour améliorer la situation actuelle. Cela pourrait servir de tremplin vers une architecture plus systématiquement résiliente.
Si le propriétaire du certificat dispose déjà d’une clé publique vérifiée pour signer le certificat, l’autorité de certification devient inutile.
Je me demande pourquoi le Brésil a réussi à faire reconnaître son autorité de certification par Microsoft. Par exemple, le Kazakhstan[1], lui, n’y est pas parvenu.
La solution simple consisterait à ce que des organismes indépendants fournissent des déclarations de confiance sur les autorités de certification, et que l’utilisateur décide s’il accorde sa confiance en prenant en compte les jugements de plusieurs organismes
Vu que le vecteur d’attaque est aussi clair, il est étonnant qu’une telle structure n’existe pas encore
Quel que soit le modèle de PKI alternatif que l’on conçoive, on n’échappe pas au problème de Microsoft qui conclut des accords
Le problème se situe entre le clavier et la chaise. Les utilisateurs ont déjà du mal à comprendre SSL. Les navigateurs ont estimé que les différences entre EV, DV et OV étaient trop complexes et les ont masquées
Si votre grand-mère ouvre le site de sa banque et que le certificat est jugé fiable par Google, Apple et Microsoft, mais pas par Mozilla, et qu’un plugin de navigateur affiche un indicateur de confiance vert jaunâtre, comment va-t-elle l’interpréter ?
Malheureusement, la confiance est binaire. Quand votre grand-mère clique sur le favori de sa banque, soit elle voit le site web de la banque, soit elle voit un avertissement effrayant
À la seule lecture de l’article original, il est difficile de savoir si cette affaire était une erreur ou quelque chose d’intentionnel
Parce qu’il était garanti que cela se verrait, et que cela allait forcément créer une controverse menaçant précisément la fonctionnalité qu’ils avaient mise en place à grands frais
google.comExiste-t-il seulement un scénario non malveillant ?
Ce n’est qu’une supposition, mais cela ressemble à une collusion intentionnelle ou à une coercition entre un gouvernement et une grande entreprise
Par exemple, le gouvernement brésilien qui demanderait à Microsoft d’autoriser l’accès à des attaques de l’homme du milieu sur les appareils Windows en échange du droit d’exercer dans le pays
Les gouvernements mènent généralement leurs mauvais plans en secret. Ce genre d’affaire est beaucoup trop difficile à faire passer inaperçu pour être une méthode viable. Le fait même que nous lisions cet article sur HN en est un exemple
Ce serait bien d’avoir une liste des autorités de certification étatiques ou liées à des États. J’aimerais toutes les supprimer
Il est difficile de déterminer quelles autorités de certification sont exploitées ou contrôlées par un gouvernement. Le nom ne suffit pas toujours à le savoir, une entreprise privée peut agir selon les directives d’un gouvernement, et une autorité de certification peut être légalement tenue de se conformer aux demandes gouvernementales
Celles qui figurent ici étaient toutes très clairement des organisations gouvernementales ou militaires exploitant une autorité de certification, et l’autorité de certification brésilienne mentionnée ici est la deuxième de la liste
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas