Les AC cherchent à améliorer les garanties de vérification des identités et demandent aux navigateurs de les suivre
Nous avons besoin de savoir avec qui nous interagissons en ligne — qui a signé électroniquement tel document, qui a vraiment envoyé tel e-mail, qui est derrière tel site auquel l’on s’apprête à se connecter. Cette assurance, ce besoin de savoir que ceux avec qui nous interagissons correspondent bien à ce qu’ils affirment être, revêt aujourd’hui une importance capitale.
En plus de chiffrer la connexion navigateur-serveur, les certificats EV SSL/TLS apportent depuis des années une réponse à cette question en affichant également l’identité vérifiée de l’entité qui opère tel ou tel site. Pour obtenir ce type de « certificat d’identité », le propriétaire du domaine doit se soumettre à un processus de vérification strict où son droit de propriété sur le domaine ainsi que les informations d’identité de l’entreprise sont contrôlés (dénomination commerciale, activités, localisation physique, etc.). Sur un site avec certificat à validation étendue (EV, Extended Validation), on pouvait s’attendre à ce que le site soit effectivement exploité par ladite entreprise et les visiteurs pouvaient effectivement voir qui était derrière le site (à condition de savoir où regarder, ce que je préciserai plus bas dans cet article).
Mais, rien n’est parfait. Certains incidents survenus plus tôt cette année ont révélé des failles dans le système de validation étendue. Les failles décelées au niveau des procédures de vérification et de l’affichage des informations d’identité permettaient en effet à des personnes mal intentionnées de détourner ces informations dans le but d’acheter des certificats EV pour duper les internautes. Ces incidents ont déjà fait l’objet d’un précédent billet dans lequel nous défendions également la validation étendue dont l’utilité n’est, à nos yeux, pas près d’être remise en cause. Les internautes auront toujours avantage à pouvoir consulter des informations vérifiées sur les entreprises qui exploitent les sites qu’ils consultent – et ce, même si l’ensemble des parties prenantes (côté AC ou navigateurs qui contrôlent l’interface utilisateur) peut s’améliorer.
Je ne reviendrai pas sur ces arguments ici ; je souhaiterais plutôt faire le point sur certains axes d’amélioration que nous poursuivons avec nos collègues du Conseil de sécurité des Autorités de Certification (CA Security Council, CASC) et proposer d’autres sujets de discussion sur l’utilisation possible de ces informations d’identité pour les internautes.
Le protocole de Londres améliore les garanties d’identité
Cinq autorités de certification membres du Conseil de Sécurité des AC ont récemment lancé le protocole de Londres, une initiative en plusieurs étapes visant à améliorer les garanties d’identité et à réduire l’hameçonnage sur les sites Web qui utilisent des certificats d’identité. L’initiative prône une amélioration de la communication entre les AC, un renforcement de la validation des identités et de l’assistance offerte aux clients dont les sites ont été compromis.
Commençons par les mesures proactives qui visent à empêcher l’acquisition de certificats d’identité par des personnes malintentionnées pour une utilisation sur des sites de phishing. Clairement, cette démarche préventive est l’idéal puisqu’elle vise à empêcher un problème avant qu’il ne survienne. Dans cette optique, les membres du protocole de Londres passent actuellement en revue nos procédures de vérification des entreprises en amont de l’émission de certificats.
Les procédures de vérification des entreprises sont déjà réglementées de manière stricte par les exigences de base du CA/Browser Forum, mais le CASC expérimente d’autres mesures visant à rendre l’acquisition de certificats d’identité à des fins malveillantes plus compliquée. L’amélioration de la communication entre les AC membres passera par le signalement d’éventuelles commandes suspectes ou tout incident louche. Nous espérons que cette mesure permettra de lutter contre le « shopping de certificats ». Les adeptes de cette pratique déposent leurs demandes de certificats auprès de plusieurs AC dans l’espoir de profiter d’une faille dans le système. Autre mesure : contrôler de façon plus exhaustive les demandeurs en vérifiant les renseignements sur l’entreprise, les coordonnées des interlocuteurs désignés ou les informations concernant les autres domaines figurant dans la demande de certificat. Cette mesure vise à s’assurer qu’aucune des personnes ou entités n’est en récidive et déjà mise en cause dans une affaire d’hameçonnage.
Les AC membres comptent également sur une démarche plus pragmatique pour aider les clients à faire face au hameçonnage sur les sites qui utilisent déjà des certificats d’identité (si, par exemple, un sous-répertoire a été piraté et que le contenu a été modifié à des fins d’hameçonnage). Nous avons développé un nouveau portail qui recueille les données de plusieurs services d’alerte contre le phishing (comme Google Safe Browsing, Anti-Phishing Working Group, etc.). Ce portail nous alerte lorsqu’un certificat que nous avons émis est associé à un site compromis. Nous pouvons alors prévenir le client et travailler avec lui à la résolution du problème (note : nous ne révoquons pas automatiquement les certificats simplement parce qu’ils sont signalés).
Comment ces changements vont-ils être mis en œuvre ? La première phase du protocole de Londres est avant tout une phase d’essai. Les AC participantes intégreront les concepts dans leurs politiques et procédures, puis continueront à affiner et standardiser les changements. Suite au renforcement des contrôles, les retours d’expérience et recommandations seront présentés au CA/Browser Forum dans la perspective d’une éventuelle intégration de ces changements aux exigences de base (Baseline Requirements) et aux directives en matière de validation étendue (EV Guidelines).
Dernière précision sur le protocole de Londres. Je suis conscient que rien n’est parfait et que ces améliorations ne vont pas faire disparaître l’hameçonnage d’un coup de baguette magique sur les sites qui utilisent des certificats d’identité. Nous l’avons déjà dit et nous le répéterons : à eux seuls, les certificats EV ne peuvent éradiquer l’hameçonnage. Mais les améliorations que nous apportons me donnent cependant bon espoir. Ces derniers mois ont permis de révéler des failles dans notre système (et par « notre », j’inclus les autorités de certification et les navigateurs) et il est, à mon sens, essentiel d’agir pour les faire disparaître.
Améliorations nécessaires : le traitement dans les navigateurs et l’affichage des informations d’identification
Cela m’amène au point suivant et à ce qui devrait, à mon avis, constituer un sujet phare de ce débat : les AC travaillent à l’amélioration de nos procédures de validation pour que les internautes puissent naviguer en toute confiance sur les sites Web qui utilisent des certificats d’identité. Or, tout cela est inutile si ces informations ne sont pas accessibles aux visiteurs ou s’ils en ignorent la signification. Je souhaiterais vivement que les éditeurs de navigateurs discutent de l’interface utilisateur et de la façon de présenter les informations de ces certificats. Je vois deux grands axes d’amélioration à cet égard :
- La normalisation : actuellement, chaque navigateur affiche les informations sur les certificats en fonction de sa propre approche et il n’est pas rare que les modalités d’affichage varient au gré des versions. Dans la mesure où chaque navigateur semble avoir ses propres méthodologies et approches de branding, je ne m’attends pas à retrouver la même expérience d’un navigateur à l’autre. Mais, si nous voulons que les internautes utilisent ces informations d’identité, une cohérence de haut niveau s’impose sur les renseignements à afficher et la présentation des informations complémentaires.
- Le choix des informations affichées : dans la plupart des navigateurs, les certificats EV affichent le nom de la société immatriculée et le pays, mais est-ce l’information la plus pertinente à afficher ? Est-ce assez précis ? Que se passe-t-il si plusieurs sociétés du même nom sont enregistrées dans un même pays ? Est-ce vraiment utile d’indiquer aux internautes le pays d’immatriculation d’une entreprise ? Les internautes savent-ils au moins ce que signifie telle abréviation de pays ? L’espace est compté : pourrait-on remplacer l’information par quelque chose de plus utile ?
Dans le même ordre d’idées, y a-t-il d’autres façons de distinguer les sites qui utilisent des informations d’identité de ceux qui ne le font pas ? Pendant des années, nous avons essayé de faire tenir les informations de base (c.-à-d. le nom de l’entreprise et le pays) dans la barre d’adresse, mais pourrait-on envisager une autre façon de faire ? Peut-être quelque chose de plus visible ou de plus facile à comprendre pour les utilisateurs qui ne possèdent pas de connaissances techniques ?
Je crois que nous serons tous d’accord sur le fait que les internautes doivent pouvoir vérifier qui exploite tel ou tel site et à cet égard, je pense que les certificats d’identité ont un rôle à jouer. J’ai le plaisir de travailler avec mes homologues membres du protocole de Londres sur l’amélioration de nos procédures et les moyens de lutter contre le détournement de ces certificats à des fins nuisibles.
Je suis impatient de voir s’ouvrir les prochaines discussions au sein du CA/Browser Forum sur les autres améliorations potentielles à apporter côté AC et navigateur pour que les internautes puissent accéder facilement aux informations d’identité des sites. Ainsi, comme l’a récemment souligné Ryan Hurst, les AC savent vérifier les informations, et les renseignements qui figurent actuellement dans les certificats (comme le nom de l’entreprise immatriculée et sa localisation) sont très utiles aux internautes qui ont besoin de communiquer avec une entreprise, notamment en cas de litige. Ce cas de figure nous interroge plus largement sur l’opportunité d’étendre l’utilisation de ces informations en dehors du protocole de sécurisation des échanges sur TLS (Transport Socket Layer) pour proposer aux internautes des renseignements plus utiles. Cette question me passionne et, comme nous avons de plus en plus besoin de savoir avec qui nous interagissons en ligne, j’ai hâte de pousser la réflexion plus loin avec mes confrères.
