Les autorités de certification et les développeurs de navigateurs envisagent de mettre un terme à l’utilisation des données WHOIS pour vérifier la propriété des domaines, suite à un rapport montrant comment des acteurs malveillants pourraient abuser de ce processus pour obtenir des certificats TLS frauduleux.
Les certificats TLS sont des identifiants cryptographiques qui sous-tendent les connexions HTTPS, un élément essentiel des communications en ligne qui vérifie qu’un serveur appartient à une entité de confiance et crypte tout le trafic entre celui-ci et l’utilisateur final. Ces identifiants sont délivrés par l’une des centaines d’autorités de certification (AC) aux propriétaires de domaines. Les règles concernant l’émission des certificats et le processus vérifiant le propriétaire légitime d’un domaine sont laissées à la responsabilité du CA/Browser Forum. Une des règles fondamentales permet aux AC d’envoyer un e-mail à une adresse listée dans l’enregistrement WHOIS du domaine concerné. Lorsque le destinataire clique sur un lien inclus, le certificat est automatiquement approuvé.
Dépendances non triviales
Des chercheurs de la société de sécurité watchTowr ont récemment démontré comment des acteurs malveillants pouvaient exploiter cette règle pour obtenir des certificats frauduleusement émis pour des domaines qu’ils ne possédaient pas. Cette faille de sécurité résulte d’un manque de règles uniformes pour déterminer la validité des sites prétendant fournir des enregistrements WHOIS officiels.
En effet, les chercheurs de watchTowr ont pu recevoir un lien de vérification pour n’importe quel domaine se terminant par .mobi, y compris ceux qu’ils ne possédaient pas. Ils ont réalisé cela en déployant un faux serveur WHOIS et en le remplissant de faux enregistrements. La création de ce serveur fictif a été possible car dotmobiregistry.net—le précédent domaine hébergeant le serveur WHOIS pour les domaines .mobi—avait été laissé à l’expiration après le transfert du serveur vers un nouveau domaine. Les chercheurs de watchTowr ont enregistré le domaine, mis en place le faux serveur WHOIS, et ont découvert que les AC continuaient à s’y fier pour vérifier la propriété des domaines .mobi.
Cette recherche n’est pas passée inaperçue auprès du CA/Browser Forum (CAB Forum). Lundi, un membre représentant Google a proposé de mettre fin à la dépendance aux données WHOIS pour la vérification de la propriété des domaines “à la lumière des événements récents où des recherches de watchTowr Labs ont montré comment des acteurs malveillants pourraient exploiter WHOIS pour obtenir des certificats TLS frauduleusement émis.”
La proposition formelle appelle à ce que la dépendance aux données WHOIS “soit abandonnée” début novembre. Elle établit spécifiquement que “les AC NE DOIVENT PAS se fier à WHOIS pour identifier les contacts de domaine” et que “à partir du 1er novembre 2024, les validations utilisant ce [méthode de vérification par e-mail] NE DOIVENT PAS se fier à WHOIS pour identifier les informations de contact de domaine.”
Depuis la soumission de lundi, plus de 50 commentaires de suivi ont été publiés. Beaucoup des réponses ont exprimé un soutien pour le changement proposé. D’autres ont remis en question la nécessité d’un changement tel que proposé, étant donné que l’échec de sécurité décelé par watchTowr n’affecte qu’un seul domaine de premier niveau.
Un représentant d’Amazon, pour sa part, a noté que la société avait précédemment mis en œuvre un changement unilatéral dans lequel le Gestionnaire de certificats AWS mettrait complètement fin à sa dépendance aux enregistrements WHOIS. Le représentant a déclaré aux membres du CAB Forum que la date limite proposée par Google du 1er novembre pourrait être trop stricte.
« Nous avons reçu des retours de clients pour qui il s’agit d’une dépendance non triviale à supprimer », a écrit le représentant d’Amazon. « Il n’est pas rare que des entreprises aient automatisé la validation par e-mail. Sur la base des informations recueillies, je recommande une date du 30 avril 2025. »
La CA Digicert a soutenu la proposition d’Amazon d’étendre la date limite. Digicert a ensuite proposé que, au lieu d’utiliser les enregistrements WHOIS, les AC utilisent plutôt le successeur de WHOIS connu sous le nom de Protocole d’Accès aux Données d’Enregistrement.
Les changements proposés sont formellement en phase de discussion. Il est encore incertain quand le vote formel sur ce changement commencera.
En tant que journaliste de LesNews, je pense que ces évolutions sont cruciales pour garantir la sécurité des utilisateurs en ligne. La nécessité de vérifier la propriété des domaines de manière fiable est plus importante que jamais dans un contexte où les cybermenaces sont omniprésentes. Un passage à des méthodes de vérification plus sûres et standardisées pourrait améliorer considérablement la confiance dans les certificats TLS et, par conséquent, dans les communications Internet.