Google s’attaque à la sécurité Internet de manière considérable

28 juin 2024 Hibou Gourou

La connexion n'est pas un avertissement privé de Google. — Google

Google apporte de sérieux changements à la sécurité des certificats numériques sur le Web, a annoncé la société sur son blog Sécurité. La grande nouvelle est que Google ne fera plus confiance aux certificats de deux grandes sociétés de sécurité – Entrust ou AffirmTrust – en raison de failles de sécurité répétées.

Selon Google, les sociétés, qui sont des autorités de certification (AC), ont démontré des tendances d'engagements d'amélioration non respectés, de non-respect de la conformité et aucun progrès mesurable dans la rapidité avec laquelle l'entreprise répond aux rapports d'incidents divulgués publiquement.

Les certificats numériques sont un fichier en ligne qui authentifie et sécurise les données d'un site, et ils sont fréquemment la cible de pirates informatiques. L'exploitation d'un certificat numérique vulnérable peut représenter un problème majeur pour la sécurité en ligne, c'est pourquoi Google prend cette mesure si au sérieux.

Suite à la décision de Google, les utilisateurs de Chrome recevront des avertissements concernant les connexions non fiables dès le 31 octobre 2024.

Les utilisateurs verront cet avertissement concernant les certificats d'authentification du serveur TLS lors de la mise à jour vers Chrome 127+ et l'erreur ERR_CERT_AUTHORITY_INVALID lorsqu'ils accéderont à ce type de site. Les sites qui utilisent Entrust incluent merrilledge.com, moneygram.com et ey.com.

Vous pouvez toujours vérifier si une connexion est sécurisée en cliquant sur l'icône « Régler » dans Chrome à gauche de la barre d'adresse > La connexion est sécurisée > Le certificat est valide . Les propriétaires de sites Web peuvent être tranquilles si le champ de l'organisation sous l'en-tête « Émis par » ne répertorie pas Entrust ou AffirmTrust.

Certificat valide sur les tendances numériques. — Judy Sanhz / Tendances numériques

Google conseille aux propriétaires de sites Web de passer à un nouveau propriétaire d'autorité de certification de confiance publique dès que possible avant la date limite. Il est également probable que cela crée un précédent pour les actions futures du géant de la technologie concernant d’autres produits Google.

Cependant, il convient de noter que les clients Enterprise auront la possibilité de continuer à faire confiance à Entrust s'ils choisissent de le faire.

Ce n'est pas la première fois que Google avertit les entreprises de faire le ménage. En 2015, ils ont également lancé un ultimatum à Symantec concernant les certificats HTTPS non autorisés émis par les employés. Malgré les nouvelles selon lesquelles des sites sont étiquetés comme peu fiables, il existe des moyens d'augmenter considérablement la sécurité dans Google Chrome, par exemple en cryptant vos mots de passe.