Voilà une affaire sérieusement technique. Mac Os X semble avoir quelques difficultés à révoquer les certificats correctement, ce qui induit un risque sécuritaire lors de l'utilisation de Safari, lequel utilise le Trousseau d'accès pour la gestion des certificats.
À l'origine de cette découverte, à porter au crédit de Seth Bromberger , un membre de l'IEEE, le hack des serveurs d'une autorité hollandais de certification, DigiNotar,une entreprise chargée, justement, d'émettre des certificats d'authentification. Du fait de cette attaque, les certificats en provenance de DigiNotar deviennent douteux et ont, d'ailleurs, été invalidés par Mozilla dans Firefox ou google, dans Chrome.
Apple, avec Safari, utilise le trousseau d'accès, et pas un dépôt spécifique, pour la gestion des certificats. Et Seth, apprenant le hack, est allé résilier tous ses certificats issus de DigiNotar. Las, alors qu'il visite des pages https sur le site de la société hollandaise, il s'aperçoit que Safari ne l'alerte à aucun moment. L'explication, du moins celle retenue pour le moment, vient de Ryan Sleevi, un ingénieur bossant sur Chrome de Google. Selon lui, Mac Os X passe outre les réglages utilisateurs concernant les certificats si l'utilisateur visite un site utilisant les Extended Validation Certificates, une variante supposée plus sécurisée des certificats. Dans ce cas, Safari acceptera le certificat EV même si sa source est indiquée, dans le trousseau, comme non valide. Apple n'a pas réagi pour le moment.
Pas de panique cependant. Si ce bogue semble bel et bien présent (mais il est quand même contesté par certains experts), il est facile de le contourner. Pour celà, plutôt qu'aller éditer le contenu de vos certificats DigiNotar, supprimez les.
Ouvrez le trousseau d'accès, sélectionnez l'élément "certificats" et recherchez "DigiNotar". Effacez ensuite simplement celui-ci et redémarrez Safari. Dernière précision, DigiNotar a modifié, hier, son certificat en le liant désormais à l'un de ceux du gouvernement hollandais, rendant le problème soulevé par Seth impossible à reproduire.
