Tech

Mozilla et Microsoft ont retiré l’autorité de certification racine de TrustCor après les révélations d’un sous-traitant américain

Commentaire

Les principaux navigateurs Web ont décidé mercredi de cesser d’utiliser une mystérieuse société de logiciels qui certifiait que les sites Web étaient sécurisés, trois semaines après que le Washington Post a signalé ses liens avec un sous-traitant militaire américain.

Mozilla’s Firefox et Microsoft’s Edge ont déclaré qu’ils cesseraient de faire confiance aux nouveaux certificats de TrustCor Systems qui attestaient de la légitimité des sites atteints par leurs utilisateurs, clôturant des semaines d’arguments en ligne entre leurs experts en technologie, des chercheurs extérieurs et TrustCor, qui a déclaré qu’il n’avait aucun lien continu de préoccuper. D’autres entreprises technologiques devraient emboîter le pas.

“Les autorités de certification ont des rôles hautement fiables dans l’écosystème Internet et il est inacceptable qu’une autorité de certification soit étroitement liée, par la propriété et l’exploitation, à une entreprise engagée dans la distribution de logiciels malveillants”, a écrit Kathleen Wilson de Mozilla à une liste de diffusion pour la sécurité du navigateur. experts. “Les réponses de Trustcor via leur vice-président des opérations CA étayent davantage la base factuelle des préoccupations de Mozilla.”

Une entreprise mystérieuse ayant des liens avec le gouvernement joue un rôle clé sur Internet

Le Post a rapporté le 8 novembre que les dossiers d’enregistrement panaméens de TrustCor montraient la même liste d’officiers, d’agents et de partenaires qu’un fabricant de logiciels espions identifié cette année comme une filiale de Packet Forensics, basée en Arizona, qui a vendu des services d’interception de communication à des agences gouvernementales américaines. pendant plus d’une décennie. L’un de ces contrats indiquait que le “lieu d’exécution” était Fort Meade, dans le Maryland, le siège de l’Agence de sécurité nationale et du Cyber ​​​​Command du Pentagone.

L’affaire a mis en lumière les systèmes obscurs de confiance et de contrôle qui permettent aux gens de s’appuyer sur Internet pour la plupart des besoins. Les navigateurs ont généralement plus d’une centaine d’autorités approuvées par défaut, y compris celles appartenant au gouvernement et les petites entreprises, pour attester de manière transparente que les sites Web sécurisés sont ce qu’ils sont censés être.

TrustCor a une petite équipe au Canada, où elle est officiellement basée dans un magasin UPS Store, a déclaré Rachel McPherson, dirigeante de l’entreprise, à Mozilla dans le fil de discussion par e-mail. Elle a déclaré que les employés travaillaient à distance, bien qu’elle ait reconnu que l’entreprise disposait également d’une infrastructure en Arizona.

McPherson a déclaré que certaines des mêmes sociétés holding avaient investi dans TrustCor et Packet Forensics, mais que la propriété de TrustCor avait été transférée aux employés. Packet Forensics a également déclaré qu’il n’avait aucune relation commerciale en cours avec TrustCor.

Plusieurs technologues participant à la discussion ont déclaré qu’ils trouvaient TrustCor évasif sur des questions fondamentales telles que le domicile légal et la propriété, ce qui, selon eux, était inapproprié pour une entreprise exerçant le pouvoir d’une autorité de certification racine, qui non seulement affirme qu’un site Web https sécurisé n’est pas un imposteur mais peut déléguer d’autres émetteurs de certificats pour faire de même.

Le rapport du Post s’appuyait sur les travaux de deux chercheurs qui avaient d’abord localisé les dossiers de l’entreprise, Joel Reardon de l’Université de Calgary et Serge Egelman de l’Université de Californie à Berkeley. Ces deux-là et d’autres ont également mené des expériences sur une offre de messagerie sécurisée de TrustCor nommée MsgSafe.io. Ils ont constaté que contrairement aux affirmations publiques de MsgSafe, les e-mails envoyés via son système n’étaient pas cryptés de bout en bout et pouvaient être lus par l’entreprise.

McPherson a déclaré que les différents experts en technologie n’avaient pas utilisé la bonne version ou ne l’avaient pas configurée correctement.

En annonçant la décision de Mozilla, Wilson a cité les chevauchements passés d’officiers et d’opérations entre TrustCor et MsgSafe et entre TrustCor et Measurement Systems, une société panaméenne de logiciels espions ayant des liens précédemment signalés avec Packet Forensics.

Le Pentagone n’a pas répondu à une demande de commentaire.

Des efforts sporadiques ont été déployés pour rendre le processus de certificat plus responsable, parfois après la révélation d’activités suspectes.

En 2019, une société de sécurité contrôlée par le gouvernement des Émirats arabes unis, connue sous le nom de DarkMatter, a demandé à être mise à niveau vers une autorité racine de haut niveau à partir d’une autorité intermédiaire avec moins d’indépendance. Cela faisait suite à des révélations selon lesquelles DarkMatter avait piraté des dissidents et même des Américains ; Mozilla lui a refusé le pouvoir root.

En 2015, Google a retiré l’autorité racine du China Internet Network Information Center (CNNIC) après avoir autorisé une autorité intermédiaire à émettre de faux certificats pour les sites Google.

Reardon et Egelman ont découvert plus tôt cette année que Packet Forensics était connecté à la société panaméenne Measurement Systems, qui a payé des développeurs de logiciels pour inclure du code dans une variété d’applications pour enregistrer et transmettre les numéros de téléphone, les adresses e-mail et les emplacements exacts des utilisateurs. Ils ont estimé que ces applications ont été téléchargées plus de 60 millions de fois, dont 10 millions de téléchargements d’applications de prière musulmane.

Le site Web de Measurement Systems a été enregistré par Vostrom Holdings, selon les enregistrements de noms de domaine historiques. Vostrom a déposé des documents en 2007 pour faire affaire sous le nom de Packet Forensics, selon les archives de l’État de Virginie.

Après que les chercheurs aient partagé leurs découvertes, Google a démarré toutes les applications avec le code espion de son magasin d’applications Play.

Ils ont également découvert qu’une version de ce code était incluse dans une version test de MsgSafe. McPherson a déclaré à la liste de diffusion qu’un développeur l’avait inclus sans l’avoir fait approuver par les dirigeants.

Packet Forensics a d’abord attiré l’attention des défenseurs de la vie privée il y a une douzaine d’années.

En 2010, le chercheur Chris Soghoian a assisté à une conférence de l’industrie sur invitation uniquement surnommée le Wiretapper’s Ball et a obtenu une brochure Packet Forensics destinée aux clients des forces de l’ordre et des agences de renseignement.

La brochure concernait un matériel informatique destiné à aider les acheteurs à lire le trafic Web que les parties pensaient sécurisé. Mais ce n’était pas le cas.

“La communication IP dicte la nécessité d’examiner le trafic crypté à volonté”, lit-on dans la brochure, selon un rapport de Wired. “Votre personnel d’enquête recueillera ses meilleures preuves tandis que les utilisateurs seront bercés par un faux sentiment de sécurité offert par le cryptage Web, e-mail ou VOIP”, ajoute la brochure.

Les chercheurs pensaient à l’époque que la manière la plus probable d’utiliser la boîte était avec un certificat délivré par une autorité pour de l’argent ou en vertu d’une ordonnance du tribunal qui garantirait l’authenticité d’un site de communication imposteur.

Ils n’ont pas conclu qu’une autorité de certification entière elle-même pourrait être compromise.

Reardon et Egelman ont alerté Google, Mozilla et Apple de leurs recherches sur TrustCor en avril. Ils ont dit qu’ils avaient peu entendu parler jusqu’à ce que le Post publie son rapport.

Articles similaires