Certificate Transparency, le nouveau fer de lance de Google en 2017 ?

Google poursuit son projet contre le piratage informatique. Il prévoit de soumettre les autorités de certification au Certificate Transparency. Il s’agit d’un système communautaire d’audit de certificats TLS/SSL permettant d’évaluer la fiabilité des sites. Dans le cas où un site ne s’y conforme pas, Google Chrome se chargera de le déclarer non fiable et de prévenir les internautes par le biais d’avertissements.

Ce nouveau projet de Google ne sera effectif qu’en octobre 2017. Dès lors, les certificats des sites web devront se conformer à Certificate Transparency afin que sa sûreté soit approuvée par Chrome. Il reste donc un an aux éditeurs pour se préparer.

Certificats Google

Google part en guerre contre les certificats dont la sécurité laisse à désirer.

C’est en tout cas ce qu’a affirmé l’entreprise à l’occasion d’une réunion récente organisée par le consortium CA/Browser Forum.

Certificate Transparency : un système pour améliorer la sécurité des sites

C’était en 2013 que le géant américain lançait ce framework Open Source devenu un standard ouvert de l’IETF (Internet Engineering Task Force).

Actuellement, la firme de Mountain View dispose du navigateur le plus utilisé au monde, Chrome. Le groupe américain compte bien profiter de cette position pour faire du Certificate Transparency un standard incontournable sur le web.

Les failles du système de certification peuvent en effet être exploitées par des hackers lors de lancement d’attaques de type « man-in-the-middle » ou dans l’usurpation d’identité (spoofing). La marque compte également en faire un argument de poids pour arriver à ses fins.

Cette perspective peut aussi être justifiée par le différend opposant Google à Symantec en 2015. Le géant de la recherche reproche en effet depuis longtemps à l’éditeur de ne pas respecter les normes en vigueur avec les certificats émis par Thawte.

Un projet qui arrive à maturité ?

Selon les affirmations de Rayan Sleevi, un ingénieur de Google, « l’écosystème autour de Certificate Transparency a suffisamment progressé. » À son avis, une année pour se mettre en conformité est donc « un objectif réalisable et réaliste. »

Il ajoute que l’initiative a déjà contribué à mieux détecter, identifier et signaler les faux certificats. Le projet concerne donc à la fois les navigateurs, les propriétaires de sites, la sécurité informatique, etc.

À partir d’octobre 2017, une alerte indiquera aux visiteurs la fiabilité des sites. Google invite d’ores et déjà les parties prenantes à transmettre leurs observations au groupe de travail dédié de l’IETF afin d’éviter la chute de trafic. Rendez-vous d’ici un an donc…