Les certificats de signature de code OV sont pour les développeurs de logiciels ce que les certificats SSL sont pour un site web. Sans eux, l’éditeur reste inconnu et le code est très vulnérable aux cyber-attaques. Comme pour tout produit PKI, il est essentiel de protéger les clés de signature des codes. Mais comme pour les certificats SSL ordinaires, il arrive que les clés tombent entre de mauvaises mains et entraînent toutes sortes d’ennuis.
Demandez à Nvidia, la célèbre entreprise technologique qui s’est récemment fait voler non pas un, mais deux de ses certificats de signature de code OV. deux de ses certificats de signature de code OV. Les pirates du célèbre groupe Lapsus$ ont utilisé les certificats compromis pour signer leurs logiciels malveillants et faire croire qu’ils provenaient de Nvidia elle-même.
Bien que les attaques de cette ampleur soient rares, les dommages qu’elles causent à la sécurité et à la réputation peuvent être considérables. La leçon à tirer de cette dernière violation est simple : ne stockez pas de certificats et de clés de signature de code sur votre serveur !
Le forum CA/Browser a réagi rapidement et a modifié la délivrance et l’installation des certificats de signature de code en votant pour qu’ils soient délivrés sur des dispositifs matériels de sécurité physique spéciaux à partir du 15 novembre.
Changements dans la signature des codes – vue d’ensemble
Le changement en lui-même n’est pas révolutionnaire puisque les autorités de certification délivrent déjà aux clients des certificats de signature de code Extended Validation sur des dispositifs USB ou des modules de sécurité matériels (HSM). Bientôt, la même procédure s’appliquera aux certificats de signature de code de validation d’organisation et de validation individuelle.
D’un point de vue technique, le matériel sécurisé comprendra des dispositifs conformes aux normes FIPS (Federal Information Processing Standards), tels que FIPS 140-2 niveau 2, Common Criteria EAL 4+, ou des solutions de signature (au minimum) comme :
- Modules de sécurité matériels (HSM) (dispositifs physiques ou en nuage)
- Jetons de sécurité tels que les outils matériels USB physiques
- Services de stockage et de signature des clés
En pratique, vous n’aurez plus à générer la demande de signature de certificat, car l’autorité de certification s’occupera de tous les aspects techniques.
La raison de la révision de la signature des codes
La plupart des modifications et des améliorations apportées par le CA/Browser Forum sont motivées par l’émergence de problèmes de sécurité qui ne peuvent plus être négligés. Celui-ci ne fait pas exception à la règle. Après quelques débâcles très médiatisées, le forum CA/B a défini les normes de sécurité en matière de signature de code dans le document Exigences de base (EB) pour la délivrance et la gestion de la signature de codes (version 2.8), mises à jour par Bulletin de vote CSC-13 – Mise à jour des exigences relatives à la protection des clés de l’abonné.
Par conséquent, tous les certificats de signature de code, quelle que soit la méthode de validation, seront livrés sur des dispositifs matériels sécurisés. Et comme les autorités de certification utilisent déjà des appareils physiques pour délivrer des certificats de signature de code EV, les changements devraient se faire en douceur et sans difficulté.
Les changements à venir sont confirmés dans la section 16.3.1 Subscriber Private Key Protection du certificat de signature de code BR (version 2.8). Voici ce qu’il dit :
“L’AC DOIT obtenir de l’abonné une déclaration contractuelle selon laquelle l’abonné utilisera l’une des options suivantes pour générer et protéger les clés privées de son certificat de signature de code dans un module cryptographique matériel dont le facteur de forme de la conception unitaire est certifié conforme au moins au niveau 2 de la norme FIPS 140-2 ou au niveau 4+ de la norme EAL des Critères communs”.
Comment dois-je me préparer ?
Officiellement, l’ajustement aura lieu le mardi 15 novembre 2022, à 12 heures. a.m Temps universel coordonné (UTC). Vous pouvez utiliser un convertisseur de fuseaux horaires pour déterminer l’heure locale. Toutefois, comme c’est souvent le cas, certaines autorités de certification, telles que Sectigo et Digicert, peuvent commencer à déployer les changements avant la date prévue afin de résoudre tout problème potentiel avant la date limite officielle. Jusqu’à présent, nous n’avons reçu aucune mise à jour de la part des autorités compétentes à ce sujet, nous vous tiendrons donc au courant de l’évolution de la situation.
Les nouvelles exigences s’appliqueront à toute personne qui achète un certificat de signature de code OV ou IV après la date butoir de novembre. Si votre certificat expire après la date limite, vous devrez le rééditer conformément aux nouvelles règles.
Les certificats de signature de code existants émis avant le 15 novembre fonctionneront comme prévu. Vous pouvez continuer à signer vos logiciels comme vous l’avez toujours fait. Une fois les changements effectués, les candidats à la signature de code devront affirmer qu’ils conserveront leurs clés dans l’une des options suivantes :
- Un HSM ou un jeton de sécurité USB
- Une solution de génération et de protection des clés basée sur l’informatique dématérialisée
- Un service de signature qui répond aux exigences énoncées dans les exigences de base du CA/B Forum.
Réflexions finales
Les autorités de certification doivent encore régler tous les détails de la délivrance des certificats de signature de code après le déploiement de novembre. Nous nous attendons à une procédure d’achat simplifiée, similaire à la procédure d’obtention des certificats de signature de code EV. Les autorités de certification fourniront également les jetons de sécurité pour votre clé privée, mais vous aurez également la possibilité d’utiliser votre propre clé si elle répond à toutes les exigences de conformité.
Administrateur système vectoriel créé par macrovector – www.freepik.com
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
