OFIT : Office Fédéral des InTrustés

ajouté le 2013-11-01T07:46:46 dans Suisse • par SwissTenguCommentaires
Tags: ofit ssl fail

/static/images/fail.jpg
J'en ai appris une bien bonne, dernièrement. Ou plutôt, deux. Voire trois ? Bon allez, j'vous explique, on comptera après ;).

Certains le savent déjà, d'autres vont le découvrir, mais notre
Office fédéral de l'informatique et de la télécommunication (OFIT) possède sa propre CA (Certificate Authority), lui permettant de signer des certificats pour les sites de l'État, des cantons et administrations.
Jusque là, rien d'anormal, au contraire : si un état ne pouvait pas générer ses propres certificats, où irions-nous ?

Sauf que…

Sauf que l'OFIT semble avoir réussi à faire intégrer sa CA "que" chez Microsoft (chercher "switzerland" — on repassera pour l'ergonomie) et, à priori, Apple (chercher "AdminCA-CD-T01").

Pour Firefox par contre, ça fait depuis 2008 qu'ils tentent de le faire accepter par Mozilla. Sans succès, à voir les standards de Mozilla sont plus hauts que ceux de Microsoft et Apple, qui doivent s'arrêter à ramasser quelques billets verts pour intégrer une CA dans leur trousseau.
Chose marrante : la CA a été refusée parce que l'OFIT semblait avoir une pratique légèrement dangereuse selon Mozilla.
C'était en 2010.
Premier point.

Oui mais… si on va par exemple sur ce site, en ce moment (01.11.2013), Firefox ne lève pas d'alerte ! Comment se fait-ce ?!

Simple : l'OFIT a décidé de contourner le problème. Ils parlent d'un certificat "cross-signed", alors qu'en fait, il s'agit d'une validation ("signature") de leur CA par une entité tiers, en l'occurrence Baltimore Cybertrust (et un mauvais point sur la dénomination, un).
Cette validation de CA va faire que votre navigateur va remonter la hiérarchie jusqu'à Baltimore, qui sera ainsi le garant de l'identité du site…

En y regardant de plus près, on peut voir que la signature de Baltimore a été émise le 2 novembre 2010.

Tiens… 2 novembre 2010. Bientôt trois ans donc. Rappelez-moi la validité standard des certificats délivrés par un organisme "reconnu" ? Deux, trois ans, n'est-ce pas ?

Bah c'est con : la signature de Baltimore échoit bêtement le 2 novembre 2013. Oh, ciel, samedi !
Deuxième point.

Sauf que… Attendez, on est le 01.11.2013, donc un jour avant l'échéance, et c'est toujours cette chaîne de confiance qui est en place ?! Mais ça va exploser, ils pourront jamais changer les certificats sur tous les sites ! D'autant qu'avec un peu de chance, certains seront en vacances et tout, ça passera jamais !
Troisième point : l'OFIT n'a pas de solution de remplacement. Ils ont voulu changer de "maître" et se tourner vers une autre société tout aussi privée et tout aussi américaine que la première. Début des discussions : mars 2013. De ce que je sais, ils n'auraient pas trouvé de terrain d'entente entre les prérequis de sécurité du prestataire (tiens, encore — est-ce une manie ?) et les besoins de l'OFIT.

Chose intéressante : la nouvelle n'est remontée jusqu'à moi que lundi, jour durant lequel mon contact a lui-même reçu l'information.
Information succincte s'il en est : "Le certificat cross-signed arrive à échéance, on va mettre le nouveau sur la page http://www.bit.admin.ch/adminp...".
Sauf que rien n'a changé depuis 2010, sur cette page. Et rien ne changera avant un bon moment : on ne le savait pas encore, mais les négociations avec la nouvelle entreprise avaient atteint un cul-de-sac. Cette dernière information est arrivée mercredi 30.10.2013. À 23h.
Rien à redire niveau délais.
Quatrième point.

Mais bon, tout n'est pas perdu : l'OFIT propose trois solutions pour régler le problème :
- prolongation à court terme de la signature de Baltimore — chose étrange, c'était en discussion avec le nouveau tiers, pas l'ancien (et c'est tombé à l'eau)
- enlever la signature de Baltimore, de manière à permettre aux navigateurs autres que Firefox de valider le site, et d'installer la CA dans son Firefox. Inapplicable dans bien des cas, avec les sites publics…
- demander des certificats à une entité reconnue (la même que celle avec qui ils étaient en discussion, d'ailleurs) pour une année

Bizarrement, je sens que l'entité reconnue va avoir un soudaine hausse de chiffre d'affaire assez intéressante, pas vous ? Oh, petite info : c'est l'OFIT qui va payer les certificats. C'est un office fédéral, donc argent public, donc vos impôts. Qui compensent l'incompétence crasse d'une poignée de manches à couilles.
Cinquième point.

En parlant de "manche à couilles" : l'acronyme allemand de l'OFIT : BIT.

En passant : vous vous souvenez de SuisseID ? Le super-machin de signature numérique lancé à grands renforts de publicités et de millions par la Confédération ? Ne regardez pas qui est l'autorité de certification et, surtout, qui est derrière elle, vous allez encore piquer un fou-rire. Non, sérieusement, c'est pour votre bien que je vous interdis d'aller voir.
Sixième point ?

Je retourne rire dans mon coin, en attendant que ça pète tout seul.

T.
Bitcoin Litecoin Skrill
 

RSS Commentaires

 
Got Gravatar?

Tybalt Félix , le 2013-11-01T14:52:22

Bonjour. Merci pour l'info intéressante. Une idée de quand en 2010 le mandat a été attribué à Baltimore Cybertrust? Je le cherche ici https://www.simap.ch/shabforms... (pour mon collègue VT) mais introuvable, il devrait y être.

permalien

 
Got Gravatar?

SwissTengu , le 2013-11-01T15:00:37

Bonjour,

Aucune idée — la logique serait qu'un AOP soit produit je pense, les sommes engagées ne sont pas négligeables… Idem pour l'utilisation de VeriSign comme prestataire "de remplacement" (les certificats ont commencé à être émis et remplacent petit à petit ceux posant problèmes, par exemple ici : https://www.ch-edoc-passantrag...).

Je n'ai malheureusement pas de contacts assez "profonds" pour avoir plus d'informations quant à un possible appel d'offre, ou une prise de décision quelconque…

T.

permalien

 
Got Gravatar?

Tybalt , le 2013-11-01T15:19:59

Ok merci. Normalement un appel d'offre doit être publié même pour une procédure de gré à gré. Le tout est de le retrouver...

permalien

 
Got Gravatar?

SwissTengu , le 2013-11-01T15:34:28

Il faudrait aussi trouver celui concernant l'attribution des certificats actuellement en cours d'émission : il y a d'autres sociétés tout autant compétentes que VeriSign, dont une suisse — il y en a aussi une (israélienne) qui propose des prix vraiment bas pour un service de qualité…

Bref, le côté financier est un angle assez intéressant, et qui parlera plus aux auditeurs de la RTS je pense :).

Je me réjouis de voir ce que vous pourrez trouver.

permalien

 
Got Gravatar?

WindMarc , le 2013-11-01T16:21:44

roooh la grosse XSS sur le site de swissid...

permalien

 
Ajouter un commentaire
Les tags HTML ne sont pas autorisés. Pour ajouter une URL, copiez-la simplement, ou employez le BBCode [url=http://...]titre[/url].
Pour le formatage, les BBCodes suivants sont autorisés: [b]gras[/b], [i]italique[/i].
seul. T. tout pète ça que attendant en coin, mon dans rire retourne ? Je point voir. Sixième d'aller interdis vous je que bien