Une sécurité routière pour nos navigateurs

Je vous présente ci-dessous un article rédigé par un consultant sécurité de mon équipe : Arnaud GARRIGUES :

Vert, bleu, voire jaune avec un bel « Attention Danger », nos navigateurs Internet utilisent de plus en plus les bonnes vieilles recettes de la sécurité routière. Quel en est l'intérêt ?

Un des problèmes sur internet est le suivant : le client souhaite, par exemple, aller consulter ses comptes sur le site de sa banque (www.mabanque.fr) ou encore procéder à un achat sur un site marchand en ligne (www.superdvds.fr).

Les prestataires veulent alors garantir à leurs utilisateurs que ceux-ci sont bien arrivés sur leur site et qu'aucun intermédiaire mal intentionné, ne vous a redirigé sur un autre site arborant un aspect identique.

www.mabanque.fr n'est-il pas en fait www.truand.com se cachant sous le visage de Ma Banque ?

Trompé, le client, en confiance, donne alors toutes les informations que des cybercriminels s'empresseront d'utiliser pour en tirer profit en achetant des objets qu'ils revendront par la suite avec les informations bancaires du malheureux client berné. Ces mêmes coordonnées peuvent être également directement revendues parmi des centaines d'autres et utilisées à des fins diverses.

Comment alors garantir que la page qui s'affiche est bien celle de votre vendeur de DVD préféré et pas un faux ? Comment s'assurer que votre navigation sur Internet s'est bien arrêtée au  bon endroit et pas au milieu d'une « zone » mal famée ?

Nos vendeurs vont alors se faire « certifier » auprès d'un tiers appelé « Autorité de Certification ». Comme un huissier, ou presque, ces autorités vont inspecter votre identité sur le net, votre légitimité et vous délivrer un document appelé « Certificat ».

Votre navigateur, qui connaît les Autorités de certification, va alors recevoir, à chaque connexion, ce certificat et va pouvoir vous indiquer, grâce à ce fameux code couleur, que le site que vous venez d'atteindre est bien le site légitime de votre revendeur. Plus encore, vous pourrez alors échanger avec le vendeur au travers d'un canal sécurisé.

« Vous êtes bien arrivés sur le site www.superdvds.Fr »

Cet outil est aujourd'hui au cœur de toutes les relations de type e-commerce et représente donc un enjeu considérable en participant largement à la sécurisation des échanges et au sentiment de sécurité des utilisateurs.

Évidemment, tout n'est pas aussi beau que la théorie pourrait le laisser penser et l'utilisateur, comme l'entreprise, aura intérêt à surveiller plusieurs points :

  • Un certificat a un prix certain ! Un site comme ce blog n'a pas de certificat car il ne donne lieu à aucune transaction financière et il est pourtant légitime (si si !).
  • Il est donc important de veiller à la présence d'un tel certificat lorsqu'on se connecte à un site avec lequel des échanges financiers auront lieu.
  • La liste des Autorités de certification est évidemment un point critique. Si une autorité de certification appartenant à des cybercriminels était validée par les navigateurs, celle-ci pourrait alors faire apparaitre comme légitime des sites cybercriminels dont les actes seraient alors grandement facilités.
     

« Si si, www.truands.com n'est pas un site de voleurs ! »

Récemment, le navigateur Mozilla Firefox a ajouté l'autorité de certification du CNNIC (une autorité chinoise qui gère aussi le .cn) dans sa liste d'autorités reconnues. Cet ajout a provoqué de nombreuses réactions de la communauté des utilisateurs, certains affirmant que cette autorité ne serait qu'un paravent pour le gouvernement de ce pays. Sans vouloir polémiquer, on se rend compte que l'ajout d'une autorité peut donc, être tout sauf anodin.

Par ailleurs, il n'existe aucun dépôt commun concernant les sites certifies ou non. Une autorité de certification négligente ou malveillante peut ainsi recréer éventuellement un certificat pour un site supposé légitime. Renforçant ainsi le sentiment de sécurité de l'utilisateur, ce type d'attaque suppose néanmoins que l'utilisateur ait été redirigé sur un site illégitime.

Une autre vulnérabilité encore récente, liée à l'implémentation de certaines fonctions permettait à toute personne se déclarant autorité de certification d'émettre des certificats pour n'importe quel site. La présence d'un caractère spécial provoquait un arrêt de la vérification par le navigateur.

« http://www.manque.fr/00.truands.com était interprété comme http://www.mabanque.fr par le navigateur, ce qui correspondait au certificat proposé ».

Un autre navigateur appelé Comodo Dragon (décidément, la métaphore animalière est en vogue chez les navigateurs libres) a pris une position forte en affirmant que 50% des certificats actuellement utilisés ne procureraient pas le niveau de sécurité souhaité. C'est donc bel et bien un sujet à débat.

En tant qu'entreprise ayant un « business » sur Internet, il vous est fortement conseillé de prendre un certificat et de veiller avec attention sur la validité de celui-ci. Rien n'est moins négatif pour votre business qu'un message mettant en cause la sécurité de votre site.
En tant qu'organisation, vous pouvez agir en interdisant l'installation de certains navigateurs au profit d'autres dans les configurations de sécurité de base des postes de travails de vos utilisateurs et également gérer la liste des autorités de certification et en révoquer certaines.
Le certificat est adjacent à un protocole technique permettant de sécuriser les connexions entre le client et le vendeur (par exemple). L'usurpation de certificats devient alors un point critique et certaines failles récentes ont ainsi permis, même si elles ont été corrigées depuis, d'émettre de faux certificats pour certains sites connus.

Pour les personnes chargées de la sécurité d'un site de vente, la veille et la surveillance des failles affectant ces protocoles et les certificats sont donc toutes indiquées.

La certification est aujourd'hui un point clé du e-commerce. Une gestion maladroite ou laxiste peut donc être à l'origine de perte de business et d'image de marque. Mais cette question peut également intéresser les organisations dont le but est de protéger leur système d'information en leur permettant d'être plus efficace au niveau de la sécurisation du Poste de Travail.

Sources : 

https://cert.webtrust.org/SealFile?seal=935&file=pdf

https://bugzilla.mozilla.org/show_bug.cgi?id=476766#c18

http://lwn.net/Articles/372264/

http://www.zdnet.fr/blogs/securite-cybercriminalite/la-

http://news.netcraft.com/archives/2010/03/05/new_browser_reports_over_half_of_ssl_sites_may_be_unsafe.html

Nicolas Jacquey
Hervé Troalic

Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.