Suite à une récente décision de Google sur l’usage Entrust pour Google Chrome, tout certificat émis par les autorités de certification (AC) racine d’Entrust après le 31 octobre 2024 ne sera plus reconnu par le navigateur Google Chrome. Selon les rapports, cette décision serait liée à « une suite de manquements à la conformité, d’engagements d’amélioration non tenus et d’absence de progrès tangibles et mesurables en réponse à des rapports d’incidents divulgués publiquement« .
Tribune par Pierre Codis, Directeur de Ventes France Benelux et Europe du Sud, de Keyfactor – Des certificats numériques ont été émis à tort, entrainant des répercussions sur la sécurité générale. Bien que regrettable, la réponse de Google vise à préserver l’intégrité de l’infrastructure à clé publique du web (PKI). Dans un monde de plus en plus numérique, la PKI est essentielle : elle protége la confidentialité et l’authenticité des communications entre les navigateurs web et les serveurs de contenu web et garantit la confiance numérique.
Quelles conséquences pour les entreprises ?
Les entreprises qui souhaitent que leurs sites web et applications publics soient accessibles via le navigateur Chrome (qui représente plus de 65 % de tous les utilisateurs d’Internet) devront remplacer leurs certificats Entrust existants avant le 31 octobre.
Quels enseignements tirer de cette décision ?
Premièrement, l’agilité de l’autorité de certification est cruciale. Lorsqu’il s’agit d’utiliser des AC publiques, il y a toujours un risque qu’elles soient perturbées ou qu’elles suscitent la méfiance des trust stores des navigateurs web. Pour minimiser ce risque, les entreprises doivent continuer à pouvoir ajouter, changer et migrer facilement des autorités de certification, ou à mettre en place une stratégie multi-AC.
Deuxièmement, le besoin critique de crypto-agilité. Chaque autorité de certification peut
éventuellement commettre des erreurs auquel cas les navigateurs web seraient contraints de révoquer les certificats. Cela s’est produit à plusieurs reprises au cours de l’année passée, notamment Mozilla qui a été très méfiant à l’égard des AC publiques Entrust en mai dernier. Les entreprises doivent être en mesure de gérer les révocations à grande échelle et d’installer de nouveaux certificats à la place des anciens, sans perturber les activités de l’entreprise.
Troisièmement, les entreprises ne doivent pas opter pour une seule et unique autorité de certification publique. Elles ne devraient jamais utiliser d’AC publiques pour autre chose qu’un site web destiné au public (c’est-à-dire pour une application mobile qui communique avec le cloud). Avec une PKI privée, le chiffrement des serveurs et des systèmes internes d’une entreprise peut être déployé afin de vérifier l’authenticité des utilisateurs et des appareils. Dans ce cas, des AC privées sont créées pour émettre des certificats. Le fait qu’elles soient gérées en interne réduit le risque d’accès non autorisé et de compromission potentielle par des entités extérieures. Dans le monde numérique actuel, la confiance est primordiale et la PKI privée permet aux entreprises d’offrir un degré de confiance plus élevé à ceux qui se fient à leurs autorités de certification.
Quatrièmement, cette situation est un signe avant-coureur de ce que va entraîner le passage à la cryptographie post-quantique (PQC). Le remplacement de tous les certificats publics d’une autorité de certification est une goutte d’eau dans l’océan comparé à ce qui sera nécessaire pour migrer vers des algorithmes à sécurité quantique. Cette situation rappelle aux entreprises qu’elles doivent commencer à migrer vers des algorithmes PQC le plus tôt possible afin d’éviter des perturbations catastrophiques.
En prévision de la prochaine modification de Chrome, les responsables de l’informatique et de la sécurité doivent évaluer avec soin leur infrastructure de clés publiques et leurs certificats. Les entreprises doivent agir rapidement pour identifier et remplacer les certificats concernés, et ce processus ne peut pas être réalisé manuellement.
La méfiance de Google à l’égard d’Entrust est un signal d’alarme pour les entreprises. La confiance numérique n’est pas statique ; elle est toujours menacée. Pour rester résilientes, les entreprises ont besoin d’une visibilité totale de tous les certificats, de la capacité d’automatiser le remplacement des certificats et la remédiation à grande échelle et, surtout, de la flexibilité d’ajouter, de migrer ou de changer d’autorité de certification sans provoquer d’interruption.
