Sans identité forte des sites Web, impossible de respecter la vie privée des consommateurs
Aujourd’hui, avec le Congrès américain, le RGPD en Europe, etc. le respect de la vie privée du consommateur est un enjeu majeur. Mais comment protéger la vie privée des internautes si l’on ne peut établir l’identité des sites Web sur lesquels les consommateurs doivent saisir leur mot de passe et numéros de carte bancaire ? Ces informations figurent dans les certificats à validation étendue ou certificats EV (Extended Validation) et présentent par conséquent un réel intérêt pour le consommateur.
Google et Mozilla ont annoncé plus tôt cette année leur intention de supprimer les indicateurs de sécurité distinctifs de leurs navigateurs Chrome et Firefox. Il s’agit d’indicateurs visuels qui permettent aux consommateurs de savoir qu’ils sont sur un site authentifié par un certificat EV. Nous pensons que c’est une erreur — et nous souhaiterions voir Mozilla et Google réfléchir à des moyens novateurs d’utiliser les données des certificats EV — plutôt que de les faire disparaître.
Cela en dit long sur la question des identités et du respect de la vie privée sur Internet.
Depuis une dizaine d’années, les sites Web qui veulent afficher une identité confirmée à leurs utilisateurs se soumettent au processus de la validation étendue (EV) lors de l’achat de certificats SSL/TLS auprès des autorités de certification (AC). Ce processus en plusieurs étapes s’inspire du modèle de vérification KYC utilisé par les banques — l’acronyme, qui vient de l’anglais Know Your Customer, désigne les règles de vérification de l’identité du client. La validation étendue s’attache donc à confirmer que l’organisation qui contrôle le domaine du certificat est dûment constituée en société et en règle. Le processus consiste aussi à prendre les mesures nécessaires pour confirmer qu’il s’agit d’une « entreprise réelle », à confirmer son adresse professionnelle et son numéro de téléphone, et à valider que le commanditaire du certificat est habilité à le faire. Une fois ces informations d’identité confirmées, elles sont insérées dans le certificat EV et signées cryptographiquement pour empêcher qu’elles ne soient modifiées ou imitées par d’éventuels fraudeurs.
Chaque certificat EV contient de nombreuses informations sur l’organisation qui exploite le site Web. Voici par exemple un certificat EV délivré pour Bank of America :
Ces informations montrent que Bank of America est une société du Delaware, aux États-Unis, immatriculée au registre américain des sociétés sous le numéro 2927442, et dont les bureaux sont situés à Chicago. Ces informations identifient sans ambiguïté l’organisation qui contrôle le site www.bankofamerica.com, et indiquent les coordonnées et les éventuelles voies de recours pour les utilisateurs, forces de l’ordre, etc. en cas de problème sur le site. Partout dans le monde, le processus de validation étendue est le même ; toutes les AC procèdent de manière identique pour l’insertion d’informations d’identité dans les certificats EV. La procédure a été normalisée dans le cadre des directives sur la validation étendue élaborées et gérées par le CA/Browser Forum.
De nombreuses grandes entreprises — banques, institutions financières, centres hospitaliers, etc. — utilisent des certificats EV pour protéger leurs clients/patients et leurs marques contre les nombreux hameçonneurs qui cherchent à les imiter.
Principale alternative aux certificats EV : les certificats à validation de domaine ou certificats DV (Domain Validation) qui ne contiennent aucune information d’identité.
Les certificats DV confirment uniquement que le propriétaire du site Web contrôle le domaine indiqué dans le certificat DV. Bien souvent, l’AC émettrice n’a aucune idée de l’identité du propriétaire du site Web et n’est souvent pas en mesure de le contacter ! Voici l’intégralité des informations d’identité que l’on trouve dans le certificat DV du site Web whoami.com :
Ces dix dernières années, les navigateurs ont utilisé une interface différente pour distinguer les sites Web qui utilisent des certificats EV. Les utilisateurs pouvaient ainsi savoir que l’identité du propriétaire du site Web avait été confirmée par une AC tierce au terme d’un processus de validation forte. Résultat : les sites qui utilisent des certificats EV n’ont pratiquement pas subi les foudres des hameçonneurs, tandis que ces derniers se reportaient sur les certificats DV anonymes pour chiffrer leurs sites de phishing... Conséquence : les cas de hameçonnage ont explosé sur les sites utilisant des certificats DV.
Google Chrome et Mozilla Firefox ont supprimé l’actuelle interface utilisateur qui distingue les sites protégés par un certificat EV
Google a malheureusement supprimé l’interface utilisateur spécifique aux sites EV depuis la mi-septembre 2019 avec la version Chrome 77. Même chose pour Mozilla depuis octobre. Les utilisateurs ne voient à présent plus que l’URL du site consulté — une URL identique à celle des sites qui utilisent un certificat DV. Voici quelques exemples d’interfaces utilisateur « avant / après » la mise en œuvre du changement. On peut voir ici le site Web du Sénat américain qui utilise un certificat EV.
Avant – dans Google Chrome 76
Après – dans Google Chrome 77
Avant – dans Firefox 69 pour GitHub, avec un indicateur vert pour l’authentification EV :
Après – dans Firefox 69 pour GitHub, sans indicateur vert pour l’authentification EV :
Ce changement n’est, d’après nous, pas souhaitable et se fonde sur des analyses erronées ou incomplètes des avantages qu’offrent les marqueurs d’identité de sites Web forts.
Voici les raisons pour lesquelles nous pensons que Google et Mozilla devraient revenir sur leur décision et restaurer l’identité des sites Web EV dans leur interface utilisateur afin, notamment, d’améliorer la sécurité des utilisateurs.
Le phishing explose sur les « sites DV ». Les internautes sont plus en sécurité sur les sites qui utilisent des certificats EV.
Jusqu’à récemment, la quasi-totalité des activités d’hameçonnage et des logiciels malveillants se déroulait sur des sites http non chiffrés. L’interface pour accéder à ces sites était neutre et les « méchants » n’avaient pas besoin de dépenser du temps et de l’argent pour obtenir un certificat, pas même un certificat DV, susceptible de livrer des indices sur leur identité. Les utilisateurs étaient formés (et avaient bien intégré l’information) à « rechercher le symbole du cadenas », gage de sécurité renforcée.
Puis, les événements se sont enchaînés : (1) Google a incité tous les sites Web à passer au chiffrement sous peine de les qualifier de « Non sécurisés », (2) Mozilla a mis en place un avertissement similaire, et (3) Let’s Encrypt a commencé à proposer des certificats DV anonymes et automatisés pour tout le monde, y compris les sites de hameçonnage connus, en partie grâce à l’important soutien financier (Platinum) de Mozilla et Google.
Comme l’on pouvait s’y attendre, la quasi-totalité du phishing s’est aujourd’hui reportée vers les sites Web chiffrés à l’aide de certificats DV et qui affichent un cadenas dans l’interface de navigation. À cet égard, le FBI a averti les consommateurs de ne plus se fier ni au préfixe https ni au symbole du cadenas dans leurs navigateurs. En effet, le cadenas s’affiche maintenant sur la moitié des sites d’hameçonnage, si ce n’est plus.
Les navigateurs ne se sont pas encore adaptés en conséquence. Certes les filtres anti-hameçonnage des navigateurs comme Google Safe Browsing sont bons, mais pas parfaits. D’après le dernier rapport en date de NSS Labs publié en octobre 2018, Google Safe Browsing ne protège les utilisateurs qu’à 79 % à « H zéro », pour passer progressivement à 95 % de protection à J+2. Or, la plupart des sites d’hameçonnage ferment dans les deux jours qui suivent leur signalement. Des milliers d’utilisateurs peuvent donc être impactés avant qu’un site d’hameçonnage ne soit signalé.
C’est précisément là que les certificats EV prennent tout leur sens. Les sites Web protégés à l’aide de certificats EV présentent une très faible incidence de cas d’hameçonnage. Une nouvelle étude de l’Université RWTH d’Aix-la-Chapelle en Allemagne présentée récemment à Usenix a mesuré le nombre de sites d’hameçonnage qui utilisent des certificats de niveaux de validation différents. Les certificats EV représentaient 0,4 % du nombre total de sites d’hameçonnage qui utilisent des certificats, mais 7 % des sites « bénins » (sans danger d’hameçonnage). En comparaison, les certificats OV étaient utilisés par 15 % des sites d’hameçonnage et 35 % des sites bénins. Quant aux certificats de Let’s Encrypt, ils représentaient 34 % des certificats utilisés sur les sites d’hameçonnage et seulement 17 % des sites bénins.
Cette étude valide les résultats d’une étude antérieure de février 2019 réalisée sur 3?494 sites d’hameçonnage qui utilisaient le chiffrement. Dans cette étude, la répartition des sites d’hameçonnage chiffrés par type de certificat était la suivante :
EV 0 site d’hameçonnage (0 %)
OV 145 sites d’hameçonnage (4,15 %)*
DV 3?349 sites d’hameçonnage (95,85 %)
*(Ces certificats OV utilisés par des sites d’hameçonnage étaient pour la plupart des certificats multi-SAN comme ceux demandés par des réseaux CDN du type de Cloudflare qui contiennent plusieurs URL de sites Web dont les contenus ne sont pas contrôlés par l’objet du certificat OV. Dans ce cas, mieux vaudrait sans doute avoir des certificats DV plutôt qu’OV.)
L’étude de Georgia Tech montre en outre que l’on retrouve très peu de sites d’EV associés à des logiciels malveillants et à des cyber-escrocs connus.
En d’autres termes, les utilisateurs sont plus en sécurité sur les sites qui utilisent des certificats EV — et ont tout intérêt à en être informés.
Si l’on pense que les indicateurs de sécurité positifs n’ont aucun effet sur les utilisateurs, on se trompe.
Les éditeurs de navigateurs considèrent que les marques de validation étendue sont inutiles. Leur argument ? Incomprises des internautes, elles n’ont aucun impact sur leur comportement. Il suffit donc de les remplacer par un indicateur positif sur les sites non chiffrés pour signaler que l’on est en présence de sites dangereux.
Nous pensons que cette analyse passe à côté des points suivants :
- Avec les indicateurs de validation étendue, Internet donne aux utilisateurs un signal clair sur la sécurité des sites. Les navigateurs devraient y voir là l’occasion d’éduquer les utilisateurs et non de les priver d’informations utiles.
- Les utilisateurs ne forment pas un groupe homogène unique et ne se comportent pas tous de la même façon. La plupart des lecteurs de ce blog remarquent en fait la présence ou non d’un indicateur d’EV. Mieux vaut donc fournir cette preuve à quelques utilisateurs qu’à personne.
- Le comportement des utilisateurs change en fonction du contexte. Au quotidien, les internautes peuvent ne pas prêter attention à l’interface lorsque tout se passe bien. Mais, au moindre incident suspect, ils peuvent devenir hyper attentifs. Sans oublier que pour les forces de l’ordre, la présence d’un certificat EV est une piste à suivre lorsqu’ils poursuivent les cyberdélinquants.
- Les indicateurs de sécurité positifs fonctionnent dans bien d’autres contextes où les attentes sont prévisibles — et fonctionneraient mieux dans les navigateurs s’ils étaient couplés à des standards et des mesures de formation. Prenons par exemple la ceinture de sécurité. La plupart d’entre nous jugent naturel de sentir la ceinture de sécurité au niveau de notre bassin et de nos épaules lors d’un trajet en voiture ; sans elle, nous sommes mal à l’aise. C’est un indicateur de sécurité positif. Son absence crée un manque chez nous du fait de sa cohérence, de son omniprésence, de son évidence et de son importance pour nous.
Il n’y a aucune raison qu’un indicateur de sécurité de l’identité ne réponde pas à ces mêmes critères. Malheureusement, au fil du temps les incohérences et les changements apportés aux indicateurs de sécurité EV dans les navigateurs ont compliqué l’éducation des utilisateurs. Mais il suffirait que les entreprises comme les grands éditeurs de navigateurs et de systèmes d’exploitation en fassent une priorité pour que ces inconvénients disparaissent.
Les utilisateurs ne peuvent se fier uniquement à l’URL pour leur sécurité sur le Web.
Sans l’indicateur d’identité EV dans Chrome ou Firefox, les utilisateurs devront se fier à l’URL et à une page d’avertissement interstitielle lorsqu’un site d’hameçonnage sera identifié. Mais des chercheurs en sécurité de chez Google l’ont eux-mêmes déclaré : « Les gens ont beaucoup de mal à comprendre les URL. Elles sont difficiles à lire, il est difficile de savoir à quelle partie de l’URL l’on peut se fier, et de façon générale je ne pense pas que les URL soient le bon véhicule d’identité d’un site ».
Avec une interface d’EV, les utilisateurs ne sont pas obligés d’étudier l’URL à la loupe — l’interface utilisateur identifie simplement les propriétaires du site et garantit aux internautes que le site consulté a bien été authentifié. Il y a donc de fortes chances qu’ils ne soient pas en présence d’un site d’hameçonnage.
Certains détracteurs de l’interface EV considèrent qu’elle devrait disparaître, car les utilisateurs ne comprennent pas les informations qui s’affichent sur l’organisation et ignorent comment les évaluer.
C’est une bonne raison d’améliorer l’indicateur EV, plutôt que de le supprimer. On pourrait imaginer une interface utilisateur EV améliorée où s’afficherait un indicateur explicite, du type « avec identité/sans identité », que l’on pourrait représenter par un symbole visuel associé à un code couleur : le cadenas vert avec l’URL signifierait que l’identité a été vérifiée (certificat EV), et le cadenas noir signifierait qu’il n’y a pas d’identité (certificat DV). Les utilisateurs sur les sites avec identité vérifiée pourraient consulter les informations spécifiques sur l’organisation, et les afficher en cliquant une fois sur le cadenas vert. Avec un minimum de formation (on pourrait imaginer l’affichage d’une fenêtre contextuelle pendant quelques mois pour expliquer à quoi correspond l’interface utilisateur verte), les internautes prendraient conscience de l’utilité de ces informations.
Un indicateur d’EV distinct offre une sécurité proactive, alors que les filtres d’hameçonnage du navigateur ne sont que rétroactifs. Autrement dit, certains utilisateurs resteront sur le carreau.
Lorsque les navigateurs vérifient le certificat et indiquent son statut aux utilisateurs, il s’agit de sécurité proactive. En revanche, si l’on doit compter sur un filtre de navigateur pour protéger les utilisateurs contre le hameçonnage, cela revient peu ou prou à laisser monter des individus anonymes à bord d’un avion, en promettant toutefois de mettre sur liste noire tout passager qui introduirait une arme en douce à bord de l’appareil pour attaquer ensuite les autres passagers. Pire encore, sans certification, l’hameçonneur banni peut fermer son site et continuer à escroquer ses victimes de manière anonyme pendant encore quelques jours à partir d’un nouveau domaine — sans être inquiété par un quelconque filtre anti-hameçonnage.
Lorsque l’on récompense les sites Web identifiés en proposant une interface utilisateur EV distincte, on assure la sécurité des utilisateurs de manière proactive, avant qu’ils ne confient leurs données personnelles à un site Web.
Les hameçonneurs ne jetteront pas leur dévolu sur les certificats EV si l’interface utilisateur EV bénéficie d’une meilleure notoriété.
Enfin, certains observateurs sectoriels affirment que si les utilisateurs font davantage confiance aux sites EV, les hameçonneurs se tourneront vers les certificats EV. C’est possible, mais n’oubliez pas qu’une fois qu’un hameçonneur utilise un certificat EV pour escroquer ses victimes, il est très probable que l’émetteur de ce certificat révoque le certificat en question et ajoute le *nom* de l’organisation ET les domaines d’hameçonnage à sa liste de signalement. Résultat : l’organisation (qu’il s’agisse d’une société identifiée par son nom, par l’État dans lequel elle s’est constituée et par son numéro d’immatriculation) ne pourra plus obtenir de certificat EV auprès de cette AC.
Les autorités de certification sont d’ailleurs en train d’établir une liste de signalement commune, de sorte qu’une société qui arnaque intentionnellement ses victimes par hameçonnage n’aura probablement aucune chance d’obtenir un certificat EV auprès d’une autre AC, quelle qu’elle soit. C’est l’une des raisons pour lesquelles les hameçonneurs n’utilisent pas de certificats EV aujourd’hui - trop chers et trop chronophages à mettre en place s’ils ne peuvent utiliser leur certificat EV que pour une seule et unique campagne d’hameçonnage.
Recommandations
Nous avons fait partie du groupe à l’origine des spécifications de la validation étendue. À l’époque, nous pensions que l’EV serait une norme évolutive que la communauté continuerait à améliorer. En arguant sur le fait que la validation étendue est loin d’être parfaite, ses détracteurs se font l’écho du vieil adage selon lequel le mieux est l’ennemi du bien. La validation étendue est une bonne chose. C’est même une très bonne chose ; il n’y a qu’à voir les statistiques qui indiquent qu’elle contribue à faire du Web un monde meilleur. Concentrons donc notre énergie pour faire encore mieux.
Le Conseil de sécurité des AC estime qu’il vaudrait mieux faire évoluer les indicateurs de la validation étendue des certificats, que les supprimer :
Pour lutter contre l’hameçonnage et rehausser les normes d’identité des sites Web, les éditeurs de navigateurs doivent, à notre avis, travailler ensemble à l’élaboration d’indicateurs de sécurité communs pour les ordinateurs portables et les terminaux mobiles. Idéalement, il faudrait que les éditeurs s’engagent avec les autorités de certification sur des actions de formation pour que les utilisateurs puissent exploiter les informations d’identité disponibles afin de prendre des décisions éclairées pour leur sécurité. Les normes communes pour les indicateurs ont connu un succès extraordinaire.
Autre exemple : Le panneau de signalisation « Stop » était autrefois différent d’un pays à l’autre, voire d’un état à l’autre pour les Etats-Unis jusqu’à ce qu’il soit normalisé. Si les panneaux Stop étaient restés différents et que les automobilistes ignoraient leur signification, certains pourraient dire : « Comme les conducteurs ne tiennent pas compte du panneau Stop pour assurer leur sécurité sur la route (en arrêtant leur véhicule), supprimons simplement tous les panneaux Stop ». Cela ne rendrait pas nos routes plus sûres pour autant ! Pour revenir à l’hameçonnage, avec l’évolution et l’augmentation permanente des attaques, il nous faut aussi renforcer et faire évoluer nos normes d’identité et de sécurité, ainsi que l’éducation des utilisateurs.
Cela offre une excellente occasion d’innover et de collaborer qui sera bénéfique aux internautes et à l’ensemble du secteur.
Cet article a été republié avec l’autorisation du Conseil de sécurité des AC.