SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


Lettre ouverte à 01 informatique - 19 janvier 2009

Dans votre article du 15/01/09, page 12, vous traitez de la vulnérabilité MD5. En tant que PDG de TBS Internet, implanté en France depuis 1996, courtier et autorité de certification électronique, un certains nombres de points sont inexacts.

- Vous citez Ibrahim Hajjeh disant que verisign ne propose pas de un remplacement gratuit. Pourtant Verisign, par la voix de Tim Callan, a annoncé le 30/12/08 que tout client pouvait obtenir un remplacement gratuit. Voir ici.


Non seulement Verisign annonce, mais le fait. Nos clients ayant un certificat d'une marque de Verisign émis en MD5 ont été prévenus individuellement, et certains ont demandé ou obtenu leur refabrication en SHA1 gratuitement.

Je le rejoins à penser que certaines autorités n'ont pas fait leur travail, mais pas pour les mêmes raisons.

- Sur le fond de la vulnérabilité, votre article est simplificateur à l'extrême, et donc simpliste. Il aurait été bon de demander à un cryptographe de vous expliquer le contenu de la découverte, publiée ici.

Je ne suis pas cryptographe, mais je vais tout de même vous citer:

"The attacker has to choose the entire prefix before the collision generation process can begin. This includes fields that the attacker does not directly control, such as the validity period and serial number of the signed certificate. Succesfully predicting those fields requires significant control over the CA's operational procedures, which was thought to be hard to achieve. In addition, the colliding certificates in "Colliding X.509 Certificates for Different Identities" used 8192 bit RSA keys, which are not accepted by all Certification Authorities. "

En clair cela veut dire que pour générer une collision, il faut savoir, à l'avance, quel va être le certificat final (émis dans le futur). Car c'est à partir du résultat (plus précisément des "données à signer") que l'on peut calculer le bloc de collision qu'il va falloir introduire dans le modulus RSA pour influer sur le calcul MD5 et obtenir la collision.

Ceci est en fait la clef de la limitation de la vulnérabilité. Seul un CA qui émet un certificat dont on peut deviner à l'avance les champs nr de série, issuer, validity et subject est vulnérable.

Hors comprenez bien que seuls les CA qui travaillent en automatique peuvent voir ces champs devinés à l'avance. C'est pour cela que l'on peut considérer que certaines autorités françaises qui émettent actuellement toujours des certificats en MD5 ne sont pas en danger: la vérification manuelle rend impossible de deviner à l'avance les dates de validité et le nr de série.

(Je ne dis pas que MD5 est sûr, bien au contraire, je traiterai de ce point plus bas)

- Et l'on en vient au coeur de ce que cette vulnérabilité a vraiment démontré: qu'il existe des CA qui émettent des certificats sans la moindre intervention humain, et qui ne certifient quasiment rien, mais qui pourtant produisent des certificats valides dans les navigateurs!

Vous citez Kwame Yamgnane disant que "30% des sites utiliseraient toujours MD5". Je ne sais pas d'où il sort ce chiffre... le chiffre fiable dont je dispose, fourni par Netcraft, est de 14%.

Plus important que le chiffre, Netcraft nous apprend que la grande majorité de ces certificats sont émis par RapidSSL. Ces certificats, de type 1-facteur, sont uniquement basés sur une vague authentification du domaine (on dit domain-validated) et n'authentifient donc en réalité rien.

C'est cela le vrai risque: il existe des CA qui vendent, et des clients qui achètent, des certificats qui ne comportent aucune authentification sérieuse et que nous dénonçons régulièrement depuis des années (plus d'infos ici).

Il y a déjà eu de graves soucis avec ces certificats (utilisation dans le cadre de phishing par exemple), et il m'est facile de prédire qu'il y en aura encore!

Nous appelons depuis longtemps notre industrie à bien catégoriser les produits commercialisés sous forme de nombre de facteurs d'authentification, afin que le consommateur sache ce qu'il achète. Un article à ce sujet.

- Revenons maintenant sur MD5. Oui MD5 ne devrait plus être utilisé pour les certificats. Depuis longtemps, et au minimum depuis 2005 (date de publication des travaux de Arjen Lenstra & Benne de Weger).

Personne ne devrait donc s'étonner que ce soit une autorité bas de gamme qui soit la principale utilisatrice de MD5.

Néanmoins MD5 reste un algorithme essentiel dans les systèmes d'information et il faut bien rappeler que, pour l'instant et pour longtemps j'espère, il demeure impossible de générer une collision à postériori (c'est à dire sans avoir "piégé" la demande initiale). Les certificats existants signés par MD5 et non piégés, ne sont donc pas vulnérables.

SHA1 est le standard actuel, et il faut dès maintenant se préparer à passer en SHA256.

Coïncidence, quelques jours avant l'annonce de la vulnérabilité MD5, TBS internet lançait son offre de certificats SSL signés avec SHA256, à ma connaissance la première offre en France. Voir notre communiqué de presse ici.

Comme l'indique bien David Pointcheval dans votre interview, la cryptographie est soumise à la performance du matériel et il est régulièrement nécessaire de passer à un algorithme supérieur.

Cordialement,

-- Jean-Philippe Donnio
PDG
TBS INTERNET