Microsoft met le souk en invalidant des certificats symantec en douce
-
Certificat Renegade supprimé de Windows. Puis ça revient. Microsoft reste silencieux.
Le certificat, initialement créé par Symantec, devait être banni il y a des années.
Depuis trois jours, les administrateurs système corrigent les erreurs qui empêchent les utilisateurs Windows d’exécuter des applications telles que QuickBooks et Avatax. Nous en connaissons désormais la cause : une décision ou un problème inopiné de Microsoft qui a supprimé un certificat numérique autrefois largement utilisé dans Windows.
Les informations d’identification supprimées sont appelées certificat racine, ce qui signifie qu’elles ancrent la confiance de centaines ou de milliers de certificats intermédiaires et individuels en aval. Le certificat racine, portant le numéro de série 18dad19e267de8bb4a2158cdcc6b3b4a et l’empreinte SHA1 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5, n’était plus approuvé dans Windows. Étant donné que cette racine était liée à des certificats qui certifient leur authenticité et leur confiance, les personnes essayant d’utiliser ou d’installer l’application ont reçu l’erreur.
Quelques minutes seulement avant la mise en ligne de ce message, les chercheurs ont appris que le certificat avait été restauré sous Windows. On ne sait pas comment ni pourquoi cela s’est produit. Le certificat immédiatement en dessous de ce paragraphe indique l’état du certificat jeudi. Celui ci-dessous qui montre l’état à vendredi.
Après que des chercheurs de Google ont affirmé quelques semaines plus tard que le nombre de certificats mal émis était beaucoup plus élevé, Symantec a révisé ce nombre à 164 certificats pour 76 domaines et à 2 458 certificats pour des domaines qui n’avaient jamais été enregistrés. À la lumière de ces nouvelles informations, Google a lancé un ultimatum à Symantec : rendre compte en détail de son processus d’autorité de certification défaillant ou risquer que le navigateur le plus populaire au monde, Chrome, émette des avertissements effrayants sur les certificats Symantec chaque fois que les utilisateurs finaux visitaient des sites Web protégés par HTTPS qui utilisaient eux.
Quelque 17 mois plus tard, Google a mis sa menace à exécution après que son enquête a conclu que pendant des années, les autorités de certification appartenant à Symantec avaient émis de manière inappropriée plus de 30 000 certificats. La société a commencé à se préparer à annuler progressivement la confiance de Chrome dans tous les certificats émis par ces autorités de certification, vendus sous des marques telles que Verisign, Thawte et GeoTrust. À compter de ce moment-là, Chrome a cessé de reconnaître tout statut de validation étendu de ces certificats et, au fil du temps, le navigateur a révoqué de plus en plus sa confiance.
Les certificats mal émis représentent une menace critique pour la quasi-totalité de la population Internet ; ils permettent aux titulaires d’usurper l’identité cryptographiquement des sites concernés et de surveiller ou de falsifier les communications envoyées entre les visiteurs et les serveurs légitimes. En particulier, les certificats pour des domaines inexistants ou des domaines appartenant à des parties autres que le titulaire constituent des violations majeures des exigences dites de base que les principaux fabricants de navigateurs imposent aux autorités de certification comme condition pour que leurs logiciels leur fassent confiance.
Les transgressions de Symantec étaient graves. Mais étant donné le statut de Symantec à l’époque comme l’un des plus grands émetteurs de certificats, Google et les autres parties prenantes étaient dans une impasse. Si Google ou d’autres fabricants de navigateurs annulaient du jour au lendemain tous les certificats émis par Symantec, cela entraînerait des pannes généralisées. Le chaos qui en résulterait rendrait l’émetteur trop important pour faire faillite. Les sanctions proposées par Google visaient à minimiser ces perturbations tout en exigeant une sanction significative.
Au cours des deux années suivantes, les fabricants de navigateurs et d’autres entreprises qui s’appuient sur des certificats numériques pour sécuriser les communications Internet ont progressivement éliminé la confiance dans ces certificats. La plupart des calendriers prévoyaient une date limite courant 2019. Pour des raisons que Microsoft n’a pas encore expliquées, Windows a continué à faire confiance aux certificats racine pour signer les logiciels.
Cette confiance a finalement été révoquée – ou du moins suspendue – mardi, encore une fois sans explication ni préavis. Cette décision a obligé les administrateurs système à déterminer pourquoi les utilisateurs recevaient des erreurs de certificat lorsqu’ils essayaient d’exécuter des logiciels tels que QuickBooks et AvaTax. Finalement, le PDG de la société de sécurité Airlock Digital a attribué la cause au changement inopiné de Windows .
Un représentant de Microsoft a proposé de commenter cette histoire à condition que les informations ne soient en aucun cas attribuées à Microsoft. Ars a refusé.
Il est probable que Microsoft ait retardé la révocation du certificat à des fins de signature d’applications, car les certificats des applications ne peuvent pas être mis à jour aussi facilement que ceux des sites Web. Sans conseils de la part de l’entreprise, les personnes qui résolvent les messages d’erreur se débrouillent seules.
Une option pour résoudre les problèmes consiste à mettre à jour les applications concernées. À l’heure actuelle, la plupart des applications ont probablement été mises à jour pour utiliser des certificats non liés à ceux qui ont été bloqués. Par défaut, Windows dispose d’une fonctionnalité appelée mises à jour automatiques de la racine activée. Certains utilisateurs l’ont désactivé pour diverses raisons, dont beaucoup sont légitimes. Le fil Reddit lié ci-dessus fournit également plusieurs scripts que les utilisateurs peuvent exécuter pour supprimer le certificat racine.
10 minutes après qu’Ars a refusé l’offre de Microsoft pour un commentaire sans attribution, un représentant de l’entreprise a envoyé la déclaration suivante :
L’autorité de certification primaire publique VeriSign Classe 3 – G5 n’est plus fiable depuis 2019 et a été définie sur « NotBefore » dans une version précédente. Cela signifie que les certificats émis après la date NotBefore ne seront plus fiables ; cependant, les certificats émis avant la date NotBefore continueront d’être fiables. Dans notre mise à jour de la liste de confiance des certificats d’août, nous avons modifié ce paramètre sur Désactiver dans le cadre de notre processus de dépréciation régulier, ce qui a provoqué des problèmes chez certains clients ayant des configurations spécifiques. Le 24 août 2023, nous avons annulé cette modification pour contribuer à résoudre ces problèmes.