Les autorités habilitées à délivrer des certificats SSL, comme Comodo, dont les serveurs ont été piratés, ne sont pas digne de confiance. C'est l'avis de Moxie Marlinspike, expert en sécurité, qui met en cause un mode de fonctionnement qui concerne l'ensemble de l'industrie de la certification. A la place, le chercheur propose un projet nommé «Convergence», dont il avait tracé les grandes lignes au mois d'août dernier lors de la conférence Black Hat. Le projet semble faire son chemin. Surtout après les attaques menées par des pirates contre des certificateurs SSL comme DigiNotar, GlobalSign, Comodo et autres autorités, lesquelles se sont traduites par l'émission de faux certificats sur le web, y compris un faux certificat Google, tous révoqués depuis.

Le projet « Convergence » de Moxie Marlinspike changerait radicalement la situation actuelle. Aujourd'hui, la confiance dans tel ou tel site web repose sur un certificat SSL émis par une autorité de certification, lui-même reconnu par le navigateur de l'utilisateur. Cette reconnaissance de telle ou telle autorité de certification est, elle, programmée par les éditeurs dans leurs navigateurs Internet. L'expert estime que l'ensemble de ce système - qui génère plusieurs millions de dollars de revenus - devrait être abandonné. Pour le remplacer, celui estime que l'utilisateur doit avoir le choix de contrôler plus directement la façon dont son navigateur gère les certificats. L'idée est d'établir une base de « notaires », sorte de vigies du web, qui donnent leur avis sur la validité de telle ou telle signature électronique, sur la base d'un feedback rendant compte de ce qui se passe effectivement en ligne.

Pour fonctionner, l'utilisateur a besoin d'installer l'extension Convergence pour le navigateur Firefox, mise à disposition par le chercheur. « Au départ, j'étais le seul notaire », explique Moxie Marlinspike. « Mais aujourd'hui, nous sommes 50 notaires Convergence », dont l'Electronic Frontier Foundation et l'éditeur de solutions de sécurité Qualys. L'idée est que ces « notaires » indiquent par voie électronique à l'utilisateur si tel certificat SSL est considéré comme valide ou non, en fonctions des préférences établies par chaque utilisateur. Selon le chercheur, à ce jour, le système a séduit 30 000 utilisateurs.

Un soutien progressif

L'idée de Moxie Marlinspike commence à recueillir un certain soutien de la part de l'industrie de la sécurité informatique. Selon Ivan Ristic, directeur de l'ingénierie chez Qualys, les études réalisée par son entreprise sur Convergence montrent que l'«alternative est viable pour supplanter l'écosystème SSL tel qu'il fonctionne aujourd'hui. » Mais, pour que le projet réussisse totalement, il est nécessaire d'atteindre une masse critique. « Cela fait un certain temps que nous travaillons sur l'écosystème SSL. Nous avons d'ailleurs publié nos résultats et nos informations sur le site web SSL Labs. Il était donc normal que nous nous intéressions au projet Convergence, et à ses objectifs, qui tente de résoudre certains problèmes de sécurité liés à la façon dont la confiance est établie sur le web », a déclaré Ivan Ristic.

Illustration : Moxie Marlinspike

Crédit Photo : D.R