Selon nos confrères de Ars Technica, Andrew Ayer, un chercheur en sécurité chez SSLMate, a mis en évidence une nouvelle défaillance de Symantec dans l’émission de certificats de sécurité SSL/TLS utilisés par les sites HTTPS. Une centaine de ces authentifications qui permettent de vérifier qu’un site Web est bien celui de la société annoncée, ont en effet été attribués par erreur par le tiers de confiance américain qui risque de perdre son agrément.
Plusieurs fois l’année dernière et de nouveau ce mois-ci, les services de certification de Symantec ont émis 108 références violant les très strictes directives de l'industrie, a indiqué Andrew Ayer dans un rapport publié le 19 janvier dernier.
Des certificats émis sans l'aval des plates-formes web
Neuf des certificats ont été émis sans l'autorisation des propriétaires de domaines concernés. Les 99 certificats restants ont été émis sans la validation adéquate de l'information par les entreprises à l’origine de la demande. Le chercheur en sécurité n’a pas eu besoin de contacter les sociétés exploitant ces certificats pour s’assurer de la validité de ces derniers, il les a simplement testés. « Les domaines (testés) sont enregistrés auprès de différentes entités et semblent être totalement sans rapport entre l’exploitant et le propriétaire. Il est peu probable, que les propriétaires de ces noms de domaines aient autorisé ces certificats ».
Après une première affaire de ce type en 2015, Symantec aurait donc récidivé et risque aujourd’hui de perdre sa capacité de certification HTTPS. Mais Symantec n'est pas la seuls société sur la sellette : « Nous avons vu un certain nombre de systèmes de certification, y compris WoSign et GlobalSign, qui ont fait beaucoup d'erreurs au cours de ces dernières années et cette tendance devrait se poursuivre», indique Kevin Bocek, Chief Security Strategist chez Venafi dans un communiqué.