C'est la controverse de la semaine, lancée par un billet de SSL Store, autorité qui délivre des certificats SSL payants.

Let's Encrypt est un projet lancé par l'EFF (Electronic Frontier Foundation)  qui délivre des certificats SSL gratuits depuis l'été 2015. Cerise sur le gâteau pour les webmasters, Let's Encrypt fournit une suite d'outils en langage Python, qui permettent d'obtenir un certificat certifié automatiquement et l'installer de même sur un serveur de site web, afin d'en faire un site sécurisé. Tout va donc pour le mieux dans le meilleur des mondes.

Mais cela ne va pas au mieux pour les autorités qui délivrent des certificats SSL payants, dont SSL Store et c'est ce qui semble être la motivation première du billet mentionné ci-dessus.

Ceci étant dit, SSL Store pointe du doigt un problème réel. Let'sEncrypt est d'utilisation si facile que c'est une opportunité pour les cybercriminels d'obtenir des certificats pour des noms de domaine trompeurs. C'est ainsi que, selon SSL Store, Let'sEncrypt a délivré 14 000 certificats contenant le nom paypal depuis mars 2016.

Ces certificats sont bien évidemment utilisés pour faire du phishing. Des sites qui ne restent en ligne qu'un jour ou deux ou qui sont très rapidement signalés par le Google Safe Browing. Ce qui leur laisse malgré tout le temps de commettre des actes malveillants.

Le problème est que les utilisateurs, voyant leur navigateur afficher un cadenas, se sentent en sécurité, ainsi qu'on leur a appris... à tort. Vous voyez le cadenas ? Alors c'est sûr. Et bien non !

Il est absolument nécessaire de faire comprendre aux profanes ce que signifie exactement le cadenas du navigateur : la communication entre le navigateur et le site est sécurisée et les données bancaires alors échangées ne peuvent pas être interceptées, mais à condition que le site que l'on visite soit bien celui que l'on pense visiter. Il faut donc toujours vérifier l'URL du site dans la barre d'adresse du navigateur, en même temps que la présence du cadenas. Un faux site volera les données au bout de la ligne, quand bien même les données ont voyagé de façon sécurisée sur la ligne de communication.

De son côté Let's Encrypt considère que ce n'est pas le rôle de l'autorité de certificat qu'elle est d'empêcher que les certificats qu'elle délivre soient utilisés de façon malveillante.