Mozilla et Microsoft suppriment le registre de certification racine •

Mozilla et Microsoft ont pris des mesures contre une autorité de certification accusée de liens étroits avec un sous-traitant militaire américain qui aurait payé des développeurs de logiciels pour inclure des logiciels malveillants de collecte de données dans des applications mobiles.

Le CA, TrustCor, nie cela mais n’a pas répondu aux questions directes au moment de la publication.

Après une longue discussion entre les employés de Mozilla et d’Apple, les chercheurs en sécurité et l’autorité de certification elle-même, le responsable du programme de Mozilla Catherine Wilson Il a déclaré que les préoccupations de l’organisation étaient suffisamment « prouvées » pour fixer une date de non-approbation au 30 novembre pour les certificats racine de TrustCor.

Les allers-retours ont été effectués sur la liste de diffusion de la politique de sécurité du développement (MDSP) de Mozilla, et vous pouvez y lire la discussion complète. Microsoft n’a pas participé à la conversation. Au lieu de cela, la dirigeante de TrustCor, Rachel MacPherson, a affirmé que Microsoft avait fixé une date de non-approbation au 1er novembre pour les certificats de sa société.

« Microsoft ne nous a donné aucun préavis de cette décision », a déclaré McPherson. Il a dit.

« Nous n’avons jamais été accusés, et il n’y a aucune preuve suggérant que TrustCor a violé une conduite, une politique ou une procédure, émis à tort des certificats de confiance ou travaillé avec d’autres pour le faire. Nous n’avons rien fait de tout cela. »

Dans ses commentaires, Apple a déclaré qu’il était d’accord avec les points de vue d’autres commentateurs et que les conclusions « laissent un doute raisonnable quant à… [TrustCor’s] La capacité d’agir en tant qu’autorité de certification généralement approuvée.

Au moment d’écrire ces lignes, les certificats TrustCor apparaissent toujours dans la liste des Certificats racine de confianceet il n’est pas clair si iMaker prévoit d’agir de son propre chef.

Anatomie d’une rupture de confiance

Toute la question de TrustCor remonte à tôt cette annéelorsque Joel Reardon, professeur à l’Université de Calgary et cofondateur d’AppCensus, a découvert un logiciel malveillant de collecte de données dans une suite d’applications Android téléchargées plus de 46 millions de fois.

Les applications infectées comprenaient un radar radar, des applications de prière islamique, un scanner QR, une application météo, etc.

Selon Reardon, Measurement Systems, basée au Panama, est la société qui a développé le code. dans le le journal Wall Street Dans un rapport sur les conclusions de Reardon, il a affirmé avoir trouvé des liens entre Measurement Systems et un sous-traitant de la défense de Virginie qui effectue des travaux de cyber-renseignement, de défense de réseau et d’interception de renseignements pour le gouvernement des États-Unis.

Les applications ont été supprimées, bien que certaines soient revenues sur Google Play avec l’icône incriminée supprimée.

Coup de feu arrière discussion plus approfondie sur mozilla.dev.security.policy le 8 novembre, où lui et Serge Eagleman de l’Université de Californie à Berkeley rapportent leurs recherches sur les systèmes de mesure.

Pour chacun des époux, le site Web de Measurement Systems a été enregistré par Vostrom Holdings, qui opère sous le nom de Packet Forensics, et Reardon a déclaré qu’il vendait des produits d’interception légale aux agences gouvernementales.

Measurement Systems et TrustCor sont tous deux enregistrés au Panama, enregistrés depuis un mois seulement, et ont le même groupe de dirigeants, a déclaré Reardon.

La paire a également enquêté sur un service de messagerie crypté exploité par TrustCor appelé Msgsafe, qui, selon eux, envoie des e-mails en texte brut via TLS. Reardon a déclaré qu’il n’était « pas convaincu que le cryptage E2E existe ou que Msgsafe ne puisse pas lire les e-mails des utilisateurs ».

Reardon a affirmé qu’il n’avait « aucune preuve que Trustcor avait fait quelque chose de mal » ou « n’avait rien d’autre qu’une autorité de certification compétente diligente ».

Cependant, a-t-il ajouté, « Si Trustcor n’était qu’un service de messagerie qui dénature ses revendications de cryptage E2E et a des liens avec des sous-traitants légitimes de la défense à intercepter, je ne soulèverais aucune inquiétude ici. Mais comme il s’agit d’un certificat racine sur des milliards d’appareils – y compris le mien – je pense qu’il est raisonnable d’obtenir une explication « , Reardon Il a dit sur le forum de discussion générale.

Réponses insatisfaisantes

TrustCor McPherson a tenté de répondre aux questions posées par Mozilla et d’autres sur le sujet, mais bien qu’il ait insisté sur le fait que les informations de Reardon étaient obsolètes et que Trustcor et Packet Forensics n’avaient aucune relation commerciale en cours, les autorités n’ont pas été convaincues.

Les commentaires dans le fil de discussion semblent moins intéressés par les liens présumés, et plus préoccupés par le fait que TrustCor ne peut pas fournir de réponses satisfaisantes.

L’expert en cryptographie Filippo Valsorda a déclaré : « Les préoccupations initiales, à part les liens possibles avec l’opération de logiciel espion, n’étaient pas une raison de se méfier de moi. Cependant, la façon dont l’AC a traité les allégations ne m’a laissé aucune confiance dans leurs opérations. »

D’autres ont fait écho au même sentiment, affirmant que les réponses de McPherson n’étaient pas suffisantes pour une entreprise Autant de puissance en ligne qu’une autorité de certification.

« Notre évaluation est que les inquiétudes concernant TrustCor ont été justifiées et que les risques liés au maintien de l’adhésion de TrustCor au programme principal de Mozilla l’emportent sur les avantages pour les utilisateurs finaux », a déclaré Wilson de Mozilla.

Nous avons contacté TrustCor pour savoir ce qu’il prévoit de faire, mais nous n’avons pas encore reçu de réponse. ®