Les utilisateurs du site vitrine LaPoste.fr ont eu une surprise ce matin. Entre 9h et jusqu'en fin de matinée ce jeudi, le site e-commerce et de services du groupe La Poste a été indisponible. En cause, un problème de certificat SSL invalide. « A notre connaissance, rien ne laisse supposer qu'il s'agisse d'une tentative de détournement », nous a expliqué Gabriel de Brosses, directeur de la cybersécurité du Groupe La Poste. « On a découvert qu'un certificat n'était plus valide et a bloqué l'accès à nos services ». Le certificat en question était fourni par la société Izenpe localisée au Pays Basque Espagnol et avait été émis le 3 août 2018 pour une date d'expiration prévue le 3 août 2020.
Selon nos informations, une erreur humaine chez Izenpe est à l'origine de ce problème bloquant. « Nous n'avons pas de confirmation sur ce point là », a réagi Gabriel de Brosses. « J'attends des réponses que l'on va traiter dans le cadre d'une analyse post mortem de l'incident qui est plutôt un incident IT et de production qu'un incident cyber ». Questionné sur le fait d'avoir sélectionné ce prestataire plutôt que Global Sign avec qui le groupe La Poste a signé un contrat depuis 2009, M. de Brosses nous a répondu : « Je n'ai pas de vision sur le pourquoi du choix d'Izenpe au niveau opérationnel. On a plusieurs fournisseurs de certificats dont Global Sign mais aussi Certinomis. Les contrats fonctionnent à bons de commande, on a négocié [avec Global Sign] un contrat cadre dans lequel on commande en fonction de nos besoins et de la durée de vie d'un certificat et il n'a pas remplacé dès le départ celui d'Izenpe ».
Le certificat Let's Encrypt mis en place dans l'urgence
Afin de redonner un accès à son site, La Poste a pris une décision dans l'urgence : se tourner temporairement vers un certificat SSL gratuit, Let's Encrypt, avec les éventuels risques que cela peut représenter en termes de cybersécurité. « La mesure que l'on a choisie c'est rétablir dans l'urgence le service. On a pris ce qui était le plus rapide à mettre en oeuvre mais c'est une solution temporaire. On a mis en place un certificat pour faire sauter l'indisponibilité des services. On a été obligé de faire une remédiation en urgence pour rétablir le service à partir du moment où le certificat n'était plus valide », poursuit Gabriel de Brosses. Valable à compter de ce 23 juillet 2020 pour une date de fin de validité au 21 octobre 2020, ce certificat n'a pas vocation à rester bien longtemps en place. « C'est une question d'heures, voire de jours d'ici lundi au plus tard », indique M. de Brosses sans indiquer le certificat prévu pour remplacer celui de Let's Encrypt.
Le travail de supervision des durées de validité des certificats SSL est un sujet complexe. Un outil existe bel et bien au sein de La Poste pour alerter et prévenir les dysfonctionnements et révocations. « Les sites sont sous surveillance avec une détection toutes les 24h. Cet incident est arrivé en dehors de cette fenêtre de surveillance », explique Gabriel de Brosses. Des projets sont lancés au sein du groupe afin de se doter d'un certain nombre de solutions pour prévenir à l'avenir ce type d'incident, mais cela nécessite quelques précautions. « Il faut qu'elles soient compatibles avec l'architecture de nos systèmes et pas trop gourmandes », prévient Gabriel de Brosses. Le groupe La Poste supervise 1 500 sites Internet et prévoit cet été de changer 70 certificats et 130 l'été prochain. « Le nombre de certificats à renouveler est très important, il y a un impact de production sur les DSI, pour maintenir la capacité opérationnelle, on étale la charge d'après un plan de migration traité sur la durée ».
"un certificat SSL gratuit, Let's Encrypt, avec les éventuels risques que cela peut représenter en termes de cybersécurité"
Signaler un abusIl n'y a aucun risque a avoir un certificat let's encrypt. C'est même plus sur a vrai dire
J'ai vérifié le certificat ce matin au moment de l'incident, pour ma part, j'ai lu le 23 Juillet comme dates d'émission et d'expiration. Ca ressemble plutôt à une bévue du côté de l'exploitant du site. Donc vaut mieux trouver discrètement une excluse.
Signaler un abus