La sécurité et la confiance sur Internet gravement remises en cause suite à l’affaire DigiNotar

A la suite de l’affaire diginotar Citizenkane s’est procuré la lettre qu’a adressé Pascal Colin, le PDG de Keynectis et Opentrust, à ses partenaires et clients. S’agissant de l’ autorité de certification leader en Europe le courrier est assez préoccupant s’agissant de la sécurité d’internet.

Keynectis Opentrust est un éditeur français, spécialisé dans le domaine de la sécurité des échanges numériques. Pionnier du SaaS (Software as a Service) et bénéficiant de plus de 12 ans d’expérience, Keynectis Opentrust propose une offre globale assurant la gestion des identités numériques et la sécurisation des documents et des communications électroniques, au profit des gouvernements, industriels, institutions financières et in fine au bénéfice des usagers à travers le monde. Avec plus de 25 millions d’identités numériques protégées chaque année, Keynectis Opentrust est le leader européen des technologies et services de confiance.

Pascal Colin, DG de Keynectis Opentrust : « Diginotar une Autorité de Certification bannie à vie des Navigateurs Internet »

diginotar : Pascal Colin, DG de keynectis opentrust explique l'affaire

diginotar : Pascal Colin, DG de keynectis opentrust explique l'affaire

Suite aux récents événements autour de l’Autorité de Certification DigiNotar qui impacte de façon majeure la confiance sur Internet, j’ai souhaité vous rappeler les faits et les mettre en perspective.
L’Internet du 21ème siècle sera sécurisé ou ne sera pas. L’Internet ne peut effectivement se concevoir qu’avec la confiance. Sans la confiance les échanges d’informations ne sont plus envisageables, l’e-commerce ne peut plus exister, les webmails ne sont plus protégés, les authentifications sur les site web ne sont plus sécurisés, etc.. Alors que la sécurité sur Internet est aujourd’hui en phase de structuration et de maturation, de tels événements (Diginotar) peuvent porter un coup fatal à l’Internet. En tant que Directeur Général de l’Autorité de Certification leader en Europe spécialisée dans la sécurisation des identités et des échanges numériques, il m’est apparu essentiel de mettre pour vous quelques points en lumière.

DigiNotar
, une Autorité de Certification basée en Hollande, a été récemment victime d’une attaque majeure permettant à des pirates de créer des certificats électroniques SSL frauduleux et ceci pour plus de 500 sites Internet dont google.com, microsoft.com ou de sites de webmail et d’agences de sécurité américaines. Ces certificats SSL sont utilisés pour garantir l’authenticité d’un site web et pour chiffrer (encoder) les échanges d’informations entre ce site web et les navigateurs Internet des Internautes. Un certificat frauduleux permet d’usurper l’identité d’un site web et de se faire passe pour celui-ci. Une personne croyant être sur un site authentique peut se trouver sur un site frauduleux qui peut ainsi intercepter des informations et des communications personnelles et confidentielles.
Les navigateurs Internet ont donc décidé de retirer Diginotar à vie des Autorités de Certification auxquelles ils font confiance dans leurs outils, portant un coup fatal à cette organisation.

Ce qui a été reproché à Diginotar n’est pas tant d’avoir été piraté – nul n’est à l’abri d’une attaque, nous en serons probablement victime à notre tour – que :

* son inaptitude à s’en rendre compte,
* son silence après sa prise de conscience,
* son manque de transparence vis-à-vis de la communauté,
* son absence de réponse aux questions posées en particulier par les éditeurs de navigateurs Internet,
* son manque de réactivité,
* son manque de moyens humains, techniques et procéduraux mis en œuvre pour garantir que de tels événements ne puissent pas se produire, et que dans le cas où, malgré tout, ils se produisaient, l’efficience des moyens de résistance et de réponse.

A noter qu’en France d’après l’ordonnance du 24 août 2011, et son article 38, en tant que fournisseur de service de communication électronique nous devons signaler à la CNIL toute « violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. » http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024502658&categorieLien=id

Pascal Colin, DG de Keynectis Opentrust : Affaire Diginotar « Qu’est-ce qu’une Autorité de Certification ? »

diginotar : Pascal Colin, DG de keynectis opentrust explique l'affaire

diginotar : Pascal Colin, DG de keynectis opentrust explique l'affaire

Une Autorité de Certification s’engage auprès des éditeurs de navigateurs Internet tels que Microsoft, Apple, Opéra, Mozilla, Google ou RIM à respecter des procédures très strictes et à mettre en œuvre des moyens techniques et humains pour s’assurer que les certificats électroniques SSL pour les sites web qu’ils délivrent sont délivrés en toute sécurité à des personnes ou des organisations dûment authentifiées. (A noter que ce modèle pour les navigateurs Internet est identique pour d’autres domaines comme par exemple la signature électronique de documents avec des éditeurs tels que Microsoft ou Adobe par exemple).
En détails :
En échange ces éditeurs incluent dans leurs outils un certificat électronique « racine » de l’Autorité de Certification. L’Autorité de Certification peut ainsi délivrer des certificats sous cette racine qui seront reconnus de confiance dans ces divers outils. Ainsi, si Keynectis en tant qu’Autorité de Certification peut délivrer au site www.monsiteinternet.fr un certificat électronique SSL, les Internautes tapant https://www.monsiteinternet.fr dans la barre d’adresse du navigateur verront s’afficher un cadenas à coté de cette adresse et pourrons cliquer sur ce cadenas pour contrôler l’identité numérique du site. Le navigateur Internet fait confiance à l’Autorité de Certification Keynectis qui fait elle-même confiance au site https://www.monsiteinternet.fr . Le navigateur Internet fait ainsi confiance au site web, accepte l’adresse www.monsite.fer en https et affiche le cadenas.
Afin de garantir que nos procédures et moyens mis en œuvre font de de Keynectis une organisation de confiance, nous nous soumettons régulièrement à des Audits tel que l’audit WebTrust http://www.webtrust.org/ ou l’Audit LSTI ETSI (European Telecommunication Standard Institue) http://www.etsi.org/ . Nous faisons aussi certifier nos logiciels (Comon Criteraia EAL4+ http://www.commoncriteriaportal.org/products/ par exemple). Enfin, nous participons à des groupes de travails tels que le Certification Authorities and Browsers Forum (www.cabforum.org) afin d’échanger avec la communauté.
Nos procédures de validation des identités des personnes et des organisations peuvent souvent apparaitre lourdes à nos clients et partenaires, et parfois même anti-commerciales. En tant qu’Autorité de Certification garante de la confiance, nous avons choisi de ne pas déroger néanmoins à ces procédures et règles parfois contraignantes que nous nous sommes fixées.

Pascal Colin, DG de Keynectis Opentrust : Après l’affaire Diginotar, les usages d’outils de confiance vont se généraliser

diginotar : keynectis opentrust explique l'affaire

diginotar : keynectis opentrust explique l'affaire

* La signature électronique en particulier de documents,
* le cryptage des échanges d’informations,
* l’authentification électronique de personnes, organisations, machines, sites web, etc.
* l’horodatage à partir d’un serveur d’horodatage certifié,
* l’archivage sécurisé à valeur probante,

vont se généraliser. Les personnes et les organisations vont se familiariser avec ces usages et ces outils. Les règles et les procédures vont se resserrer. Ainsi les certificats SSL Extended Validation vont par exemple progressivement remplacer les autres certificats SSL qui offrent moins de garanties et les certificats SSL Domain Validated fournis via des procédures automatisées vont disparaitre. Les audits des Autorités de Certification vont se renforcer et devenir de plus en plus stricts. Il est aussi probable que les autorités gouvernementales vont vouloir s’impliquer et peut être statué sur, par exemple en France, la délivrance de certificats SSL pour les noms de domaines .fr délivrés par l’AFNIC. Des organisations telles que la CNIL vont peut-être demander à ce que chaque échange d’informations personnelles via un formulaire sur l’Internet soit chiffrés (encodés) grâce à un certificat SSL.
Nous sommes favorables à ces évolutions et y contribuerons.
Une newsletter pour en savoir plus
Conscient de notre rôle d’Autorité de Certification leader en Europe, nous avons décidé de mettre à votre disposition une newsletter qui vous informera régulièrement des évolutions relatives à la sécurisation des identités numériques et à la confiance sur Internet. Cette newsletter mensuelle de Keynectis Opentrust qui se veut pédagogique s’adresse à tous, elle vous permettra, par exemple, de mieux comprendre quand faire confiance à un site web pour éviter la réitération d’une affaire diginotar.

About The Author

Related posts

Leave a Reply