GOOGLE VS SYMANTEC

Technologies de Sécurité
GOOGLE VS SYMANTEC

Dit comme ça, on a l'impression que c'est la guerre entre Google et Symantec. C'est effectivement le cas, le géant Américain Google a décidé de supprimer progressivement les certificats Symantec et associés de son navigateur Chrome. 

1.1 Qu'est ce qu'un certificat SSL/TLS ?

Les certificats SSL sont généralement utilisés pour protéger le trafic entre un serveur web et un navigateur, chiffrer les connexions entre les navigateurs et les sites Web compatibles HTTPS, sécuriser les opérations sensibles comme les transactions financières, les achats en ligne, les échanges de données et les informations de connexion (identifiants et mots de passe).

Les certificats EV SSL quant à eux disposent d'un niveau de confiance plus élevé que les certificats SSL simple  et certifient aux visiteurs d’un site Web que celui-ci a fait l’objet d’un contrôle rigoureux et qu’il ne s’agit pas d’un site malveillant ou d’une reproduction frauduleuse d'un site.

 1.2 Origine du problème

Depuis quelque temps, le torchon brule entre le géant de la recherche sur internet Google et Symantec. Cela est dû à une succession d'incidents PKI provoqués par Symantec. Il faut savoir que Symantec a émis environ un tiers des certificats SSL/TLS circulant sur le Web.

Déjà en 2015, Thawte, une marque de Symantec, avait émis environ 2600 pré-certificats EV (Extended Validation) pour des sites. Des certificats qui n'avaient jamais été demandés ni autorisés par les propriétaires de domaine notamment Google.  

Plus récemment en Janvier 2017 Google avait une nouvelle fois pointé du doigt Symantec et les  autorités de certifications liées (Thawte, Verisign, Equifax, GeoTrust et RapidSSL), d'avoir incorrectement émis au total 108 certificats SSL/TLS sur l'année 2016.

Google accuse donc Symantec et remet en cause la procédure de délivrance des certificats issus de l'infrastructure PKI de Symantec. Cette procédure de validation doit normalement être sécurisée et conforme aux exigences de base du CA /Browser Forum, un consortium réunissant autorités de certification, éditeurs de navigateur, d’OS et autres.

1.3 Une perte de confiance

Suite à cette succession d'incident, Google a décidé en Septembre 2017 de ne plus faire confiance aux certificats provenant de l'infrastructure Symantec. Il s'ensuit une réduction du niveau de confiance des certificats Symantec dans les navigateurs Chrome. Cette révocation des certificats Symantec se fera donc de manière graduelle avec les sorties des nouvelles versions de Chrome et de Mozilla Firefox.

Google a donc annoncé un plan de dépréciation progressif des certificats Symantec. La proposition initiale de dépréciation était très stricte et semblait paralyser totalement Symantec, mais au final, les deux firmes ont fini par s'entendre sur un plan progressif de dépréciation des certificats Symantec.

Cependant, à la fin, pour éviter de construire une nouvelle infrastructure de confiance, Symantec a décidé de vendre l’activité PKI, avec tous les problèmes inhérents, à la société Américaine DIGICERT qui elle a encore toute la confiance du secteur. De ce fait tous les certificats émis depuis l’infrastructure Symantec après la date du  1er Décembre 2017 ne sont plus valables. Tous les nouveaux certificats devront être émis depuis l'infrastructure Digicert.

Après une enquête menée également par Mozilla,  la société a décidé de s’aligner sur le plan de dépréciation publié par Google à plus ou moins une semaine près concernant les dates de sortie des navigateurs Mozilla Firefox.

1.4 Quand remplacer les certificats Symantec ?

Le plan de dépréciation des certificats Symantec de Google est divisé en deux étapes.

Première étape :  Les certificats émis avant Juin 2016 ne seront plus considérés comme digne de confiance par Google en Mars 2018 avec la sortie de Chrome 66.

Deuxième étape : Tous les certificats restants émis par Symantec cesseront de fonctionner avec la sortie en Septembre de Chrome 70.

Version de Chrome

Date prévue de sortie

Certificats concernés

Chrôme 66 Bêta

15/03/2018

Certificats émis avant le 1er juin 2016

Chôme 66 Stable

Autour du 17/04/2018

Certificats avant le 1er juin 2016

Chrôme 70 Bêta

13/09/2018

Tous les certificats émis par l'infrastructure Symantec

Chrôme 70 Stable

Autour du 23/10/2018

Tous les certificats émis par l'infrastructure Symantec

Il est à noter que les operateurs qui possèdent des certificats délivrés après le 1er Juin 2016 ne seront pas affectés par la nouvelle version Chrome 66 mais devront changer de certificats pour Chrome 70.

Les certificats émis par la nouvelle  infrastructure Digicert à partir du 1er Décembre 2017 ne sont pas affectés par ce changement.

Note : Firefox commencera à considérer les certificats Symantec comme non fiable à partir de la version 60 de Firefox qui est prévue pour Mai 2018.

En cas de non respect des dates publiées par Google pour le changement des  certificats Symantec, les entreprises risquent de voir apparaître ce type de message sur leur page en cas de requête https://


1.5 L'impact sur les entreprises

Une chose est certaine, c'est que toutes les entreprises concernées ne changeront pas avant les dates fixées leur ancien certificat Symantec, ce qui deviendra très rapidement problématique avec la sortie de la version 66 puis 70 de Chrome. Les sites de ces entreprises risqueront de voir apparaitre sur leur navigateur des messages d'alertes du type " le certificat de ce site n'est pas valide" qui peuvent altérer très rapidement la réputation de l'entreprise, engendrer une baisse considérable du trafic web et donc des ventes et même la perte de clients.

Arkadiy Tetelman ingénieur en sécurité informatique chez Airbnb selon son blog, a publié le 4 Février 2018 le résultat d'un test qu'il a effectué sur le Top 1 million des sites listés par Alexa en terme de trafic web. Et le résultat après 11h de scan est surprenant, encore 11510 de sites sont concernés par la dépréciation de Avril 2018 avec la sortie de Chrome 66 et 91627  de sites le sont par la dépréciation d'Octobre 2018 avec notamment la version 70 de Chrome.

Parmi ces sites on retrouve quelques grands groupes internationaux et des sites français tels que :

Ebay.com
Amazon.fr 
cdiscount.com
blackberry.com
www.flunch-traiteur.fr
www.bpe.fr : la banque privée de la banque postale
receptel.fr : centre d'accueil téléphonique
www.anact.fr : l'agence national pour l'amélioration des conditions de travail
www.supmaritime.fr Ecole National Supérieur Maritime
www.wibox.fr : Fournisseur d'accès internet
www.matmut.fr assurance
www.mondialtissus.fr
www.airchina.fr

www.groupama.fr

www.intersport.fr

www.pimkie.fr

www.unicef.fr

www.chronopost.fr

Arkadiy Tetelman a bien fait les choses, il a mis à disposition du public les résultats de son test aux adresses suivantes :

Nous vous recommandons d'y faire un tour et de faire une recherche pour vous assurer que votre ou vos sites ne sont pas concernés.

1.6 Quelques conseils

Pour tous les clients concernés, Symantec recommande fortement de remplacer les certificats tout en respectant les dates prévues par Google. Si votre site dispose d'un certificat Symantec, en particulier s'il a été émis avant le 6 juin 2016 , commencez par le faire réémettre par DigiCert ou le remplacer par un autre organisme de confiance. Assurez-vous de tenir votre DSI et RSSI au courant de la situation.

Symantec Website Security et Digicert garantissent la continuité des activités de leur clients en remplaçant progressivement les certificats impactés. Symantec met également à disposition dans sa base de connaissance plusieurs articles permettant de déterminer et remplacer les certificats concernés achetés auprès de Symantec.

Symantec Complete Site Web Sécurité
Symantec Managed PKI pour SSL
Symantec Trust Center ou Symantec Trust Center Enterprise  Centre de sécurité
GeoTrust ou Centre de sécurité d'entreprise Centre de certificats
Thawte ou Centre de certificats Enterprise
RapidSSL Security Center

Pour tous les clients ayant acheté des certificats auprès d’un partenaire Symantec Verisign, Equifax, …), Symantec leur conseille vivement de se rapprocher de celui-ci afin de procéder au changement de ces certificats.

Thierry K, Expert Technologies de Sécurité, Advens