L’an dernier, des chercheurs rattachés à Google ont estimé que Symantec, et ses autorités de certification (AC) affiliées, avaient émis plusieurs milliers de certificats TLS (Transport Layer Security) non valides. En conséquence, l’équipe de Chrome a annoncé un calendrier officiel de changements progressifs au terme duquel l’éditeur cessera d’accorder sa confiance aux certificats délivrés par Symantec. Les tensions entre les géants de la navigation en ligne et les autorités de certification monteront encore d’un cran en 2018.
Les préoccupations concernant les pratiques d’émission de certificats dont font état les éditeurs de logiciels de navigation ne sont pas un phénomène nouveau. À ceci près que ces préoccupations les poussent aujourd’hui à prendre des mesures, qui se conjugueront à d’autres évolutions sectorielles en 2018. Partant de là, il est très probable que les tensions entre AC et fournisseurs de navigateurs continueront à s’intensifier, ce qui accentuera les pressions exercées sur les modèles économiques en vigueur sur le marché des AC.
Les relations entre navigateurs et AC seront affectées par trois évolutions primordiales sur le marché :
- Les éditeurs de logiciels de navigation joueront un rôle plus actif auprès des AC et dans la conduite qu’elles doivent tenir. Le mois dernier, le chercheur en sécurité informatique Ian Carroll a mené une expérience qui a prouvé qu’un usurpateur d’identité pouvait se procurer en toute légalité des certificats à validation étendue (EV) pour des sites web malveillants. Citant en exemple le constat dressé par Ian Carroll, nombre d’éditeurs de navigateurs font observer que les pratiques d’émission des AC doivent impérativement être surveillées de plus près. Dans ces conditions, et suite à la décision prise par Google de retirer sa confiance aux certificats de Symantec, les AC doivent s’attendre à davantage de vigilance de la part des géants de la navigation en ligne.
- Les navigateurs web feront une place moindre aux avertissements de sécurité sur les certificats, voire les supprimeront. Il faut s’attendre à ce que les navigateurs renoncent à émettre des avertissements sur les certificats, quel que soit leur type, puisque des études indiquent que ceux-ci ont rarement un impact sur le comportement des utilisateurs. Attendu que la plupart des utilisateurs ne connaissent par les certificats EV et passent généralement outre les indications relatives à la sécurité, Chrome, par exemple, a publié récemment une mise à jour qui ne permet pas aux utilisateurs d’avoir connaissance des informations détaillées sur les certificats, à moins d’accéder à la section Outils de développement.
- Les modèles économiques des AC évolueront forcément. Tant que les éditeurs de logiciels de navigation joueront un rôle plus actif dans le choix des AC auxquelles ils feront confiance et modifieront l’expérience utilisateur autour des certificats vulnérables ou non valides, les modèles économiques des AC évolueront. En plus d’automatiser et de simplifier la délivrance de certificats EV afin d’être en mesure de rivaliser avec Let’s Encrypt, il est probable que les AC investiront dans davantage d’automatisation et développeront de nouvelles offres produits pour se différencier de leurs concurrents.
Je ne m’attends pas à ce que les relations entre les autorités de certification et les éditeurs de logiciels de navigation évolue du jour au lendemain ; néanmoins, nous constaterons des changements radicaux à mesure que l’on avance dans l’année. L’épisode Google-Symantec n’est que le début de changements plus conséquents qui, au final, impacteront la sécurité Internet et la protection de notre vie privée à tous.
___________
Walter Goulet est Product Manager for cloud products chez Venafi