Pourquoi est-ce important: La chaîne de confiance assurée par les autorités de certification (CA) garantit la sécurité du Web et le bonheur des entreprises Internet. Cependant, lorsque la chaîne se brise, une autorité de certification peut soudainement devenir un invité indésirable dans les navigateurs Web les plus populaires.
Mozilla, Microsoft et probablement d’autres fabricants de navigateurs ont commencé à prendre des mesures contre TrustCor, une autorité de certification (CA) émettant des certificats racine pour des milliards d’appareils connectés à Internet. Selon des enquêtes récentes et les propres mots de l’entreprise, TrustCor travaille – ou a travaillé – avec une autre entité faisant des affaires dans le domaine des logiciels espions.
La nature potentiellement louche des activités de TrustCor est apparue lors d’une discussion sur une liste de diffusion Mozilla, où Joel Reardon, professeur à l’Université de Calgary, a partagé ses découvertes sur un SDK de logiciel espion. caché dans certaines applications Android. Ces applications ont été téléchargées plus de 46 millions de fois et comprenaient un radar radar, une application de prière musulmane, un scanner QR, etc.
Début novembre, Reardon a révélé que Measurement Systems, basé au Panama, était la société qui avait créé le SDK de logiciels espions. Des enquêtes ultérieures ont révélé des liens entre Measurement Systems et un sous-traitant de la défense effectuant des travaux de cyberguerre pour le gouvernement américain. En plus de cela, Measurement Systems semblait lié à TrustCor, les deux sociétés étant enregistrées au Panama et partageant les mêmes dirigeants.
De plus, TrustCor exploite un service de cryptage de courrier électronique nommé MsgSafe. Une version bêta de MsgSafe contenait la seule version non obscurcie connue du logiciel espion Android créé par Measurement Systems. Un représentant de TrustCor s’est joint à la discussion sur Mozilla, fournissant de plus amples informations mais aucune réponse claire sur l’implication de l’entreprise dans le secteur des logiciels espions.
Au final, quelques points clés ont émergé : Measurement Systems et TrustCor avaient une certaine relation, au moins jusqu’en 2021, et un développeur engagé par TrustCor avait accès à une version non obfusquée du code source du malware Android de Measurement System. Même s’il n’y avait aucune preuve que TrustCor ait abusé de sa position d’autorité de certification en émettant des certificats TLS potentiellement malveillants, Mozilla a déclaré que la société n’avait pas réponse ses préoccupations les plus urgentes concernant la fiabilité de TrusCor.
Mozilla a donc décidé de supprimer les certificats TrustCor du navigateur Firefox à partir du 30 novembre. Microsoft avait déjà fixé une date de méfiance au 1er novembre, a révélé Rachel McPherson, responsable de TrustCor, tandis qu’Apple et d’autres sociétés de navigateurs pourraient suivre bientôt.