Qui penserait qu’une guerre de territoires pourrait affecter le secteur des certificats SSL / TLS ? Depuis hier, près de 23000 certificats HTTPS délivrés par l’autorité de certification Digicert sont en passe d’être révoqués. D’après nos confrères de The Register, un e-mail contenant les clés privées de ces certificats a été envoyé à Digicert par son revendeur Trustico. Or, ces clés sont censées ne pas être diffusées puisqu’elles pourraient être utilisées par des pirates pour faire passer un de leurs sites malveillants pour légitime. Par mesure de précaution, ces 23 000 certificats ont donc dû être annulés.
Tout commence début février quand le revendeur Trustico indique au chef de produit de Digicert, Jeremy Rowley, que des certificats avaient été « compromis » et devaient être annulés. L’autorité de certification demande alors de plus amples explications. Le revendeur lui répond être en possession d’une copie des clés privées de ces certificats. Digicert demande des preuves. Trustico lui envoie donc hier un mail avec la liste de ces mots de passe en guise de preuve. Ce qui a obligé l’autorité de certification à déclencher l’annulation de tous les certificats dont elle a reçu les clés. « Actuellement, nous ne révoquons les certificats que si nous avons reçu les clés privées », indique Jeremy Rowley à The Register. « Il y a des certificats supplémentaires que le revendeur a demandé de révoquer, mais DigiCert a décidé de ne pas tenir compte de cette demande jusqu'à ce que nous recevions une preuve de compromis ou plus d'informations sur la cause de cet incident. »
Pour avertir les internautes de la révocation massive à venir, l'entreprise RapidSSL de DigiCert a envoyé des alertes par e-mail aux clients de Trustico, auxquelles The Register a pu avoir accès.
Des certificats pas très sécurisés
Selon le chef de produit de Digicert, Trustico n’a jamais expliqué comment ses équipes sont entrées en possession de ces clés privées. L’entreprise a donc envoyé un mail aux clients de Trustico et publié un billet de blog pour les appeler à obtenir de nouveaux certificats. Ce à quoi le revendeur a très mal réagi puisqu’il affirme qu’il n’avait « jamais informé [Digicert] que des clefs privées avaient été compromises »… Le chef de produit de Trustico soutient qu’il aurait évoqué des problèmes de sécurité susceptibles de compromettre son compte Symantec. Cette activité de certification HTTPS, rachetée par Digicert en août dernier, pose vraisemblablement de sérieux problème de sécurité puisque Trustico a annoncé mi-février abandonner la vente de ses certificats SSL.
Les deux entreprises ont annoncé qu’elles offriraient gratuitement des certificats de remplacement aux personnes touchées par la fuite.