La prochaine version du navigateur de Google pénalisera les entreprises dont les certificats HTTPS ont été délivrés par Symantec. Un coup dur pour de nombreuses plates-formes.
Google ne se contente plus de lutter contre les sites Web qui ne se sont pas encore passés au protocole sécurisé HTTPS. Il a prévu de bloquer aussi ceux dont les certificats ont été fournis par Symantec. Une première vague émise avant juin 2016 a été bannie à l’occasion de Chrome 66. La seconde vise les certificats émis avant décembre 2017.
Cela concerne également les autorités de certification œuvrant sous la bannière Symantec comme VeriSign, Equifax, GeoTrust et RapdiSSL Certificates. Le couperet tombera le 16 octobre prochain au moment du passage à Chrome 70. Google a beau avoir fait part de ses intentions bien en avance, certains sites ne sont toujours pas mis en conformité. Car cela nécessite de supprimer les certificats en question et de les remplacer.
Techcrunch cite l’expert en sécurité Scott Helme qui a comptabilisé 1139 sites figurant dans le Top un million d’Alexa. Sont concernés, par exemple, certaines adresses de Castorama, de l’entreprise de transports en car Eurolines, du casino d’Evian, de la banque fédérale d’Inde ou du site officiel de la ville de Tel-Aviv. Concrètement, il ne sera plus possible d’y accéder, l’utilisateur se trouvant face à un message d’erreur de sécurité lorsqu’il se rendra sur leur adresse.
Symantec a perdu la confiance de Google et Firefox
Google accuse Symantec d’avoir émis des certificats trompeurs et erronés. Il a notamment découvert que ce dernier avait autorisé des organisations peu fiables à émettre des certificats.
Les certificats HTTPS chiffrent les données entre votre ordinateur et le site Web ou l’application que vous utilisez, rendant quasiment impossible toute tentative d’interception de vos données, même en Wi-Fi public. De plus, ils prouvent l’intégrité du site que vous visitez en vérifiant que les pages n’ont pas été modifiées par un intrus. La plupart des sites Web obtiennent leurs certificats HTTPS d’une autorité de certification, qui respecte certaines règles et procédures qui, au fil du temps, sont approuvées par les navigateurs Web. En ayant perdu la confiance de Google, Symantec se voit ainsi mettre au banc de Chrome.
Google n’est pas le seul à sanctionner cette entreprise. Mozilla a procédé de la même manière avec Firefox en mettant en place plusieurs vagues de rejets de certificats.
Source : www.01net.com