L’EPFL et d'autres institutions victimes de certificats SSL révoqués sans préavis
Du jour au lendemain, les sites et services numériques de nombreuses organisations dans le monde, dont ceux de l’EPFL, ont vu leur accès limité ou interrompu à cause de certificats SSL intermédiaires révoqués. Le fournisseur DigiCert+QuoVadis n'a semble-t-il pas correctement communiqué en amont.
Un grand nombre de sites et services internet ont subi des pannes et indisponibilités à cause de la révocation de certificats SSL intermédiaires générés par DigiCert+QuoVadis. L’EPFL fait partie des organisations touchées. DSI de l'école polytechnique, Rafael Corvalan a signalé le problème à la rédaction, précisant que la révocation a eu lieu sans le moindre préavis. Confrontées au problème du jour au lendemain, ses équipes doivent s’atteler à remplacer 1’800 certificats. A commencer par les sites et services indispensables au bon déroulement des examens et au fonctionnement des infrastructures (réseau, contrôle d’accès, VPN, etc). Voilà qui tombe spécialement mal alors que la formation à distance s’est imposée à cause de la pandémie.
Par le biais d’une annonce publiée sur son site, DigiCert+QuoVadis a fait état du problème, avant de publier une mise à jour proposant des liens de téléchargement des nouvelles versions des certificats SSL intermédiaires incriminés. En l’occurrence ceux nommés «QuoVadis Global SSL ICA G2» et «QuoVadis Global SSL ICA G3». Selon les recherches de la rédaction, ces certificats sont fréquemment fournis à des institutions publiques et de formation supérieure.
Communication défectueuse
L’équipe d'intervention en charge des urgences informatiques du gouvernement australien (AusCERT) a publiquement communiqué, dès le 15 janvier, sur la révocation de ces certificats SSL intermédiaires. Notant que de nombreuses organisations lui ont signalé le problème. AusCERT précise ne pas avoir été informé au préalable de la révocation. DigiCert+QuoVadis lui a en outre fait savoir que les erreurs signalées sur les sites concernés étaient notamment causées par l'action d’épingler un site ou service à un certificat unique (pratique nommée «Certificate Pinning»). Cependant, même sans s’adonner aux mauvaises pratiques pointées par DigiCert+QuoVadis, la révocation de certificats oblige à les remplacer, confie le responsable IT de l’EPFL. Avant de déplorer le manque de transparence et la communication défectueuse du fournisseur de certificats SSL qui, contacté par la rédaction, n’a pour l’heure donné aucune explication. Dans la publication d’AusCERT, DigiCert+QuoVadis admet toutefois n'avoir pas communiqué correctement sur le sujet.
