• La confiance qu’a un utilisateur envers son navigateur et sa capacité à lui donner des informations pertinentes et à le protéger ;
• La confiance entre un navigateur et sa liste d’autorités de certification (CA) de confiance ;
• La confiance que l’industrie et les éditeurs portent aux différentes autorités de certifications (CA) sur leur capacité à authentifier les détenteurs de certificats, à vérifier leurs informations et à tout mettre en oeuvre pour techniquement protéger les mécanismes sous-jacents.

Si un seul élément de la chaîne de confiance est défaillant, c’est l’ensemble de la sécurité qui est compromise comme cela a été le cas récemment :

• Eddy Nigg, fondateur de StartCom, a révélé que certstar, un revendeur pour l’authorité de certification Comodo, ne vérifiait aucune information avant de signer les certificats SSL et utilisait des techniques douteuses afin de récupérer de nouveaux clients. Eddy a pu facilement obtenir un certificat pour mozilla.com alors qu’il est nullement lié à l’organisation. Comodo a immédiatement réagi après la divulgation en révoquant le certificat et en créant une enquête interne sur certstar. De son côté, Mozilla veut avoir plus d’assurance de la part de Comodo sous peine de supprimer la CA de la liste des autorités de confiance.
• Un groupe de chercheurs a présenté à la 25ème conférence CCC (Chaos Communication Congress) leurs travaux sur la possibilité de créer un certificat de CA reconnu de confiance par les différents navigateurs et permettant donc de générer des certificats pour n’importe quel site web sécurisé. Pour cela, ils exploitent les faiblesses connues de l’algorithme MD5 encore utilisé (à tort) par certaines autorités de confiance. Avec un bon timing et l’aide d’un cluster de 200 PS3, ils ont réussi a générer un certificat de CA ayant la même empreinte qu’un certificat qu’ils ont fait créer par RapidSSL. Avec un tel certificat en poche, il est possible de créer des attaques de type Man in the middle contre toutes les connexions SSL. Verisign a immédiatement arrêté la signature des certificats en MD5 pour empêcher une éventuelle reproduction.

Difficile ensuite pour l’utilisateur d’être sur à 100% qu’il navigue bien sur un site de confiance malgré tous les indicateurs offerts par son navigateur. Un navigateur à jour et un contrôle systématique des certificats (via OCSP) reste la meilleure méthode pour surfer sereinement. Dans tous les cas, il faut réfléchir à deux fois avant de contourner les messages d’avertissement car les attaques MITM basiques existent bel et bien.