SGC : qu'est-ce que c'est ?

Evaluation des besoins et des implications de la technologie SGC (Server Gated Cryptography)


Les origines de la technologie SGCsgc-infographic

La technologie SGC a été créée dans les années 90, en réponse à une législation américaine sur les restrictions de chiffrement fort à l’exportation (supérieure à 40 bits). Cette législation concernait notamment les distributeurs de navigateurs les plus populaires à l’époque aux Etats-Unis, Microsoft et Netscape, qui exportaient leurs programmes de navigation à l’étranger. Cependant, il était indispensable de mettre en place un niveau de chiffrement élevé pour les transactions financières internationales. Une exemption a donc été créée afin d’autoriser l’utilisation d’un niveau de chiffrement élevé pour les certificats SSL des organisations financières, rendu possible grâce à la technologie SGC. Aujourd’hui, la législation sur le chiffrement à l’exportation n’existe plus. Les années 2000 ont vu naître de tous nouveaux navigateurs, y compris des versions d’exportation, qui fonctionnent avec des niveaux de chiffrement élevés supérieurs ou égaux à 128 bits, et ce, sans avoir à utiliser SGC.

Comment fonctionne SGC ?

Les restrictions américaines sur le chiffrement à l’exportation impliquaient que certaines versions d’exportation anciennes des navigateurs Internet Explorer et Netscape ne pouvaient offrir que des niveaux de chiffrement SSL de 40 bits seulement. Un chiffrement de 40 bits est faible et peut être cassé par les technologies actuelles. La technologie SGC a pour fonction de forcer ces anciennes versions de navigateurs à utiliser un niveau de chiffrement de 128 bits. Les navigateurs pour lesquels la technologie SGC est utile se limitent à leur version d’exportation :

  • Internet Explorer, versions d’exportation 3.02 à 5.01

  • Netscape, versions d’exportation 4.02 à 4.72

  • Windows 2000, systèmes exportés avant mars 2001 pour lesquels le pack Microsoft’s High Encryption ou le pack Service 2 n’ont pas été téléchargés et qui utilisent Internet Explorer.

Pour des raisons de facilité, nous ferons désormais référence à cette liste sous le nom de « navigateurs SGC ».

En quoi la technologie SGC peut-elle être nuisible ?

1. Elle encourage l’utilisation de programmes non sécurisés

Les Autorités de certification, les distributeurs de navigateurs et les propriétaires de site Internet responsables devraient encourager leurs clients à utiliser les dernières versions revues et corrigées des navigateurs, et ne pas faciliter l’utilisation d’un programme non sécurisé et dangereux. La technologie SGC renforce un niveau de chiffrement faible, mais elle ne s’attaque pas aux nombreux problèmes de vulnérabilité des navigateurs SGC. Cela laisse donc ces derniers vulnérables aux attaques de l’homme du milieu, aux infections de botnet, aux enregistreurs de frappes et aux infections de malware.

Les fournisseurs e-commerce les plus populaires, tels que PayPal, rappellent les dangers de l’utilisation de ces navigateurs à risque pour les transactions financières, indiquant qu’ils sont « l’équivalent d’un constructeur automobile qui permettrait à ses clients d’acheter des voitures sans ceintures de sécurité ». (Michael Barrett, RSSI de PayPal, http://www.eweek.com/c/a/Security/PayPal-Plans-to-Ban-Unsafe-Browsers/)

2. Les navigateurs SGC fonctionnent sans les dernières révisions du protocole SSL/TLS

De par leur nature, les navigateurs SGC sont obsolètes et ne seront donc pas en mesure de fonctionner avec les dernières révisions du protocole SSL, y compris les corrections concernant les plus récentes vulnérabilités et les améliorations apportées au protocole lui-même.

3. Les navigateurs SGC ne fonctionnent pas avec la dernière classification des certificats SSL

En 2007, une nouvelle norme a été mise en place pour le SSL par les membres du CA/B Forum – l'EV SSL ou validation étendue. Ce nouveau certificat exige un nombre de vérifications spécifiques de l’identité de son propriétaire, qui sont ensuite affichées dans la structure du certificat. Les navigateurs reconnaissent les certificats EV SSL , qui sont symbolisés visuellement grâce à la barre d’adresse verte, garantissant ainsi une assurance directe de l’authenticité du site. L’EV SSL a été mis en place 7 ans après le dernier navigateur SGC, et c’est pourquoi les navigateurs SGC ne sont pas en mesure d’offrir les avantages très spécifiques des certificats EV SSL. Les propriétaires de site qui investissent dans des certificats EV SSL devraient également encourager leurs visiteurs à choisir une version plus récente de leur navigateur, afin de bénéficier des avantages pour lesquels ils ont investi.

4. Très peu de navigateurs ont désormais besoin de la technologie SGC

SGC n’est utile que pour les personnes qui continuent à utiliser une version de leur navigateur antérieure à 2000. Ces versions ne sont désormais plus disponibles pour la distribution.

Par exemple :

  • En juillet 2012, Internet Explorer en est à la version 9. Microsoft a cessé tout support et la distribution de la version 5.01 d'Internet Explorer et versions antérieures depuis des années. En décembre 2008, l'utilisation d'IE5 a dégringolé à 0,3% (www.w3schools.com).

  • Netscape a cessé tout support pour son navigateur Netscape en 2007. Dès septembre 2009, son utilisation était déjà descendue à 0,07% (www.statowl.com).

  • Leurs sociétés mères n'offrent plus en téléchargement les navigateurs Netscape et Internet Explorer 5.01 (ou version antérieure).

Bien que cela soit difficile à quantifier, les propriétaires de sites internet devraient aussi prendre en compte la probabilité qu'un client utilisant SGC devienne un client sérieux. Quelle est la probabilité qu'un navigateur datant de 10 ans soit utilisé pour des transactions légitimes. Et qui plus est, souhaitez-vous vraiment échanger des informations confidentielles avec un navigateur reconnu pour avoir des failles de sécurité ?

La prise de position de GlobalSign sur la technologie SGC

En tant que l’un des premiers fournisseurs de services de confiance sur Internet, il est de notre mission de contribuer à l’écosystème du SSL, et notre point de vue sur le SGC entre dans notre schéma de l’amélioration de la sécurité et de l’utilisation du SSL pour tous.

GlobalSign estime que la technologie SGC implique de plus sérieuses vulnérabilités. Le but de la technologie SGC n’a plus aucun intérêt si un pirate est capable d’exploiter une faiblesse dans la sécurité du navigateur ou du protocole qui n’utilise pas un niveau de chiffrement élevé. Les utilisateurs qui veulent bénéficier des niveaux de sécurité les plus élevés se doivent de mettre à jour leur logiciel et leur navigateur.

GlobalSign considère que la technologie SGC n’offre aucune vraie valeur à l’écosystème de l’Internet d’aujourd’hui, et décourage fortement son utilisation.

  • De nombreuses AC font payer un supplément pour accéder à la technologie SGC. L’application de cette politique tarifaire suggère qu’il se peut que, rétrospectivement, l’opinion générale du secteur considérait le SGC comme une valeur ajoutée. Le nombre d’autorités de certification (AC) pouvant offrir la technologie SGC étant limité, cette dernière était utilisée comme un avantage concurrentiel par rapport aux AC ne pouvant pas l’offrir. Nous estimons que cette période doit à présent prendre fin.

  • L’option SGC ne sera dorénavant plus disponible au sein de notre gamme de certificats SSL. En effet, nous jugeons que le SGC n’apporte aucune valeur ajoutée, et qui plus est, adhérons aux meilleures pratiques du secteur. Nous encourageons plutôt nos partenaires et clients à investir leur temps et leurs efforts à implémenter des mises à niveau afin de remédier aux principales failles de sécurité. Nous vous incitons également à appliquer les meilleures pratiques de SSL côté serveur. Cette pratique se révèle en effet beaucoup plus efficace que l’utilisation du SGC pour offrir un très haut niveau de sécurité.

  • Visitez régulièrement notre centre d’information SSL, afin de découvrir les nouveaux documents et outils mis à votre disposition pour vous aider à mettre en place les meilleures pratiques de configuration SSL.