MacBidouille

En 2015, les autorités de certifications ont lancé un avertissement à Symantec qui avait abusé de sa capacité à émettre de certificats https.

Ces certificats permettent de certifier que le site avec lequel on est en ligne est bien légitime et que la connexion n'a pas été déviée vers un autre pour extorquer des informations. Pour faire simple, c'est le petit cadenas que vous voyez dans la barre de menu de Safari quand vous vous connectez à votre banque ou sur un site protégé.

Pour des raisons pratiques, il existe de nombreux tiers de confiance capables de délivrer de tels certificats. Il doivent toutefois remplir un cahier des charges très précis avant de l'émettre et en 2015, Symantec avait dérogé à ces règles. La société avait alors licencié les employés coupables de ces négligences et été mise en probation pour cette mauvaise utilisation de ce pouvoir.

Ars Technica rapporte que la société aurait récidivé dans ses mauvaises pratiques et aurait émis au total plus de 100 certificats sans remplir le cahier des charges. Parmi ces derniers 9 cas sont particulièrement graves puisque la société a émis des certificats sur une adresse internet précise sans que le propriétaire du nom de domaine et de la société concernée ne soit au courant. En bref, ils l'ont été mais à un tiers...

Symantec pour cette deuxième faute pourrait bien perdre sa capacité de certification, ce qui serait très grave pour la société et va de toute façon mettre à mal sa réputation.

[MàJ] Nous avons reçu un communiqué de Symantec que voici, traduit:

Les certificats Symantec en question ont été publiés par l'un de nos partenaires audités WebTrust. Nous avons restreint les privilèges d'émission de ce partenaire pendant que nous continuons à examiner cette question. Bien que la plupart des certificats répertoriés aient déjà été révoqués par le partenaire, Symantec a révoqué tous les certificats valides restants dans les 24H selon les lignes directrices du CA / B. Notre enquête est toujours en cours.