pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Tiens, regardez qui s'est invité

Vendredi 18 mars 2011

Tiens donc, voilà une information curieuse. Et une raison de plus (s'il en fallait encore une) pour de me tenir loin d'Internet Explorer (et Google Chrome par la même occasion).

Je vous avais parlé du problème des certificats SSL et du fait que "n'importe qui" possédant un certificat racine peut intercepter vos communications HTTPS sans lever la moindre alerte dans votre navigateur.

Parmi les éditeurs de navigateurs, il semblerait que seul Microsoft ait accepté d'installer le certificat racine... je vous le donne en mille... du gouvernement Tunisien !

"C = TN" veut dire "Country (pays) = Tunisie". L'ANCE est l'autorité de certification tunisienne gérée par le ministère de l'industrie et des technologies. Ajoutez à ça que les principaux FAI du pays sont à la botte du gouvernement (et hop je coupe les routes internet), on imagine bien qu'ils n'étaient pas à un détournement DNS près.

Tout à coup, on comprend mieux comment ils ont pu espionner et pirater les comptes GMail et Facebook des opposants pendant tout ce temps (30 ans de dictature, on finit par avoir de l'expérience en matière d'espionnage et de muselage). C'est malheureux à dire, mais c'est uniquement grâce à cette intervention de Microsoft que le gouvernement Tunisien a pu (s'il l'a fait) espionner les communications HTTPS (pour les utilisateurs de IE en tous cas). J'ignore ce qui a motivé Microsoft à agir de la sorte, mais le résultat est catastrophique. Et j'aimerais bien connaître la date d'installation de ce certificat dans Windows. En tous cas, il était présent avant Novembre 2009.

Notez que ni Firefox, ni Opera ne possèdent ce certificat. Google Chrome est hors course: Il utilise les certificats de Windows (donc les mêmes que IE). Ceci étant dit, les autres navigateurs ne sont pas tout blancs non plus: Il y a quelques mois une polémique est également apparue quand la fondation Mozilla a installé (par les mises à jour intégrées à Firefox) le certificat du gouvernement chinois (CNNIC).

Comme dit Arkados, on devrait de prime abord supprimer toutes les autorités de certification de nos navigateurs, et valider un par un les certificats reçus. Mais ça reste lourd. Et de toute manière, supprimer tous les certificats n'est pas une solution puisque les mises à jour occasionnelles (que ce soit Windows/IE ou Firefox) installent parfois de nouveaux certificats. Il faudrait donc vérifier la liste des certificats après chaque mise à jour. Ce n'est pas tenable, et de toute manière trop complexe pour l'internaute moyen.

En un mot: C'est la merde, il ne faut pas faire confiance aux éditeurs de logiciels (même les plus gros), et même HTTPS ne garantit plus la confidentialité de vos communications.
Ah... et - est-il encore besoin de le répéter - restez loin d'Internet Explorer.

(Source: Rue89)


Mise à jour 21 mars 2011: Le certificat en question est présent dans IE depuis Février 2007. (Merci TheCric.)

Voir tous les billets