Chrome enfonce le clou du cercueil des Certificats EV (Extended Validation – Validation Étendue)

Préface de MC :
Tout ce que vous avez voulu savoir sur l’histoire du fameux cadenas à gauche dans la barre d’adresse et les certificats EV qui supposément nous garantiraient une certaine sécurité avec la norme HTTPS (Hyper Text Transfer Protocol Secure).

Sécurité : L’équipe de développeurs de Google Chrome annonce mettre fin à l’affichage spécifique supposé signaler les noms de domaines disposant d’un certificat EV. Une annonce suivie de près par Firefox et qui rouvre le débat sur l’utilité de ces certificats.
Lien : https://www.zdnet.fr/actualites/certificats-ev-chrome-enfonce-le-clou-du-cercueil-39889055.htm?utm_campaign=quotidienne_13/08/2019&utm_source=newsletter&utm_medium=emailing

Les certificats sont un monde complexe et parfois obscur par les autorités de certification.
SSL (Secure Socket Layer) est le protocole qui fournit une connexion sécurisée vous permettant de transmettre des données privées en ligne.
Les sites sécurisés avec SSL affichent un cadenas dans l’URL du navigateur et éventuellement une barre d’adresse verte s’ils sont sécurisés par un certificat SSL de type  » EV « .
Vous pourrez voir « https:// » dans la barre d’adresse.

Et les moteurs de recherches aimeraient simplifier un peu tout cela : les ingénieurs de Google Chrome ont ainsi annoncé vendredi dernier qu’ils envisageaient de mettre fin à l’affichage spécifique des certificats EV (Extended Validation) dans la version 77 de Chrome.
Pour connaître la nature du certificat, l’utilisateur devra cliquer dessus, mais les certificats EV ne disposeront plus de l’affichage spécifique, qui se distinguait par l’affichage du nom de l’entreprise dans la barre d’URL à côté du cadenas signalant l’utilisation de HTTPS.
Commentaire de MC : avez-vous remarqué que le cadenas n’est plus vert? Cela ne change rien à la validation, « ils » ont décidé d’enlever la couleur verte …

Dans l’exemple qui suit, vous noterez que le site « lapresse.ca », possède un certificat EV (Validation Étendue) valide jusqu’au 2020-04-23, émis par la société Bitdefender:
Cliquez sur le cadenas pour voir le certificat en détails:

Pour l’équipe des développeurs de Chrome, ce choix s’impose suite aux conclusions de plusieurs chercheurs ayant montré que le grand public ne faisait pas vraiment de différence entre les subtilités d’affichage des différents types de certificats.
L’analyse de l’utilité de l’affichage des certificats EV dans l’interface des navigateurs, ont montré qu’il ne permettait pas de protéger les utilisateurs contre l’hameçonnage (phishing), comme initialement prévu » écrit l’équipe sécurité de Chrome.

L’initiative n’est pas isolée : l’annonce de Chrome a rouvert le débat sur l’affichage spécifique aux certificats EV chez les développeurs de Firefox, qui se posent également la question de l’utilité de cet élément dans leur navigateur et annoncent leur intention de supprimer cet affichage dans la version 70 de Firefox.
Chez Safari et Edge, l’affichage du nom de l’entreprise dans la barre d’URL est déjà un vestige du passé.

Certificats EV, OV, DV, qu’est-ce que c’est ?
Pour ceux qui ne saisiraient pas bien la subtilité, les certificats se déclinent selon différentes variétés (et différents prix évidemment) :
1-Le certificat le plus basique est le certificat DV (Validation de domaine – Domain Validation) : celui-ci se contente de vérifier que le détenteur du certificat est bien le détenteur de votre nom de domaine.
2-Les certificats OV (Validation de l’organisation – Organisation Validation) et EV apportent des niveaux de confiance supplémentaires : l’autorité de certification qui les émet doit ainsi procéder à des vérifications sur la nature et l’existence physique de l’organisation ou de la personne détentrice du certificat, afin notamment de limiter les risques d’hameçonnage.
Ces certificats OV et EV (qui correspondent chacun à un certain niveau de certification par les autorités émettant les certificats) sont évidemment vendus plus chers.
Parmi les arguments avancés par les autorités, certaines proposent également des garanties censées rembourser le détenteur du certificat en cas d’abus par des personnes malveillantes.
Mais certains observateurs ont de sérieux doutes sur le fonctionnement de ces garanties et se demandent tout simplement si des possesseurs de ces certificats en ont déjà bénéficié.
La décision de Chrome et de Firefox vient donc remettre à nouveau en question l’utilité de ces certificats.
Dans un monde où n’importe qui peut avoir recours à un certificat DV émis par Let’s Encrypt gratuitement et où les utilisateurs ne font pas vraiment attention aux différences entre les certificats, les certificats EV ont donc du plomb dans l’aile.

Commentaires de MC : la norme HTTPS:// n’est pas une garantie à 100%, que votre navigation sur les différents sites que vous parcourez, sera sans soucis de cyberattaques ou de malveillance.
Comme dirait le dicton du Blog du Hacker: « Ce qui est sécurisé à 99%, n’est pas sécurisé »
Il est impératif d’utiliser en tout temps un antivirus, un antimalware, un VPN et votre vigilance absolue…

Michel Cloutier
20190813
« C’est ensemble qu’on avance »

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s