Turktrust, agence liée à l’armée turque, délivre un certificat frauduleux à Google Chrome

Première publication : 5 janvier 2013.

D’après Adam Langley, ingénieur de Google, le navigateur Chrome de la société Google a été victime d’une fraude au certificat indirectement causée par Turktrust, autorité de certification chargée de délivrer des certificats SSL (Secure Sockets Layer) aux navigateurs internet. Ces certificats permettent en principe d’éviter d’être renvoyés à des serveurs frauduleux. Turktrust, après investigation, a découvert qu’il avait par erreur en août 2011 délivré des certificats intermédiaires à des organisations qui, selon Adam Langley, auraient dû recevoir des certificats SSL. Cette erreur de Turktrust est la cause de l’apparition d’un certificat non autorisé. Google mais aussi Microsoft ont révoqué ces certificats. Google a par ailleurs annoncé qu’il réduirait son recours aux certificats délivrés par Turktrust, bien que des connexions à ses serveurs se poursuivent. Turktrust Information Security Services Inc. est une filiale de la fondation ELELE des forces armées turques. La filiale a été formée le 14 juillet 2004 et se définit comme fiable et impartiale. Compte tenu du lien entre Turktrust et les forces militaires turques, la fraude qui a touché Google et potentiellement d’autres navigateurs par l’intermediaire de Turktrust ne risque-t-elle pas de se renouveler de facon plus intensive en cas d’une belligérance déclarée impliquant l’armée turque contre la Syrie, l’Iran ou le Kurdistan? Des représentants de Turktrust ont nié que des “intentions malhonnêtes” se cachent derrière ce certificat frauduleux et ont vanté la fiabilité de leur système. Cette affaire rappelle DigiNotar, ancienne autorité de certification des Pays-Bas qui avait elle aussi délivré à Google des certificats frauduleux. Cette fraude avait provoqué une attaque des serveurs de Google. Après avoir perdu la confiance de ses clients, DigiNotar avait été reprise par le gouvernement néerlandais puis mise en faillite en 2011. Les certificats de Turktrust ont-ils attrapé la grippe, et si tel est le cas, pourquoi Google et les autres navigateurs ayant recours aux services de Turktrust devraient-ils en faire payer la facture à leurs utilisateurs, au risque de détériorer leur image de navigateurs fiables?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s