« Le système Convergence n'essaye pas de remédier aux faiblesses actuelles en gardant le modèle existant », a-t-il ajouté. « Il propose d'essayer quelque chose de tout à fait différent. » Qualys veut « jouer son rôle, contribuer à sa croissance, et lui donner une chance de réussir», a ajouté le responsable de Qualis. Moxie Marlinspike, lui-même CTO de Whisper Systems, a indiqué que Convergence était un projet personnel et qu'il n'avait pas d'attente sur la manière dont il pouvait générer des recettes pour son entreprise. Mais il n'approuve pas le mode de fonctionnement actuel, qui lie les éditeurs de navigateurs aux autorités de certification, en particulier les plus grands, comme VeriSign, Entrust, Thawte et Comodo. Ainsi, après le piratage de DigiNotar, Microsoft avait mis beaucoup d'énergie pour modifier son navigateur afin qu'il ne reconnaisse plus les certificats de DigiNotar. L'entreprise de certification hollandaise a été forcée de se déclarer en faillite, une répercussion directe du piratage qu'elle a subi.

Redonner le pouvoir aux experts et non aux autorités

Comodo certifie entre un cinquième à un quart de tous les certificats SSL sur Internet. Si bien que, dans le cas où les navigateurs Internet ne reconnaissaient plus ses certificats, cela perturberait grandement le mode de fonctionnement actuel. Reste que, selon Moxie Marlinspike, la sécurité sous-jacente est tout simplement « illusoire ». L'expert fait remarquer que «nous avons pris le parti de faire toujours confiance à Comodo, sans savoir si oui ou non le certificateur continue à mériter cette confiance. » Il a poursuivi : « Ce qui est arrivé à DigiNotar peut se reproduire tous les jours. On n'avait encore jamais vu ce genre d'accident. Si les pirates n'avaient pas été stupides, personne ne l'aurait même remarqué. »

L'expert fait valoir que la Convergence est « totalement rétro-compatible » avec le système de certificats SSL actuels et que « l'expérience utilisateur est exactement la même. » Avec Convergence, ce sont les « notaires » qui indiquent s'ils pensent que tel certificat est valide ou non. Grâce aux multiples feedback, cette validation, obtenue de manière consensuelle, prend plus de valeur. Les entreprises peuvent toujours continuer à faire émettre des certificats et des signatures si elles le veulent, mais la validation de leurs certificats va changer, puisque ceux-ci seront aussi soumis à la validation des utilisateurs en fonction de la confiance qu'ils leur portent. Illustration : Moxie Marlinspike

Crédit Photo : D.R