Google a annoncé qu’il était sur le point d’abandonner TrustCor Systems en tant qu’autorité de certification racine (CA) pour son navigateur internet.
Le géant de la technologie a cité une « perte de confiance dans sa capacité à faire respecter ces principes fondamentaux et à protéger et sauvegarder les utilisateurs de Chrome » dans un discussion de groupe (s’ouvre dans un nouvel onglet).
Joel Reardon, professeur et chercheur sur la confidentialité de l’espace mobile à l’Université de Calgary, a déclaré que son équipe avait « découvert et divulgué un SDK de logiciel espion intégré dans des applications qui suivaient de manière invasive les utilisateurs ».
Autorité de certification racine TrustCor
Dans un effort conjoint avec le journal Wall Street journalistes d’investigation, il a été découvert que TrustCor était enregistré à un mois seulement de la société à l’origine du SKD, connue sous le nom de Measurement Systems, toutes deux au Panama.
Reardon souligne dans son avis: «Pour être clair, je n’ai trouvé aucune preuve que TrustCor a émis un mauvais certificat ou abusé de l’autorité dont ils disposent en matière de signature de code, de SMIME et de validation de domaine… Peut-être que la propriété identique de TrustCor et de Measurement Systems est une coïncidence. »
Au-delà de cela, il existe un certain nombre de coïncidences malheureuses et liées qui ont conduit des entreprises comme Microsoft et Mozilla à abandonner également TrustCor en tant qu’autorité de certification racine.
Le changement devrait prendre effet avec le déploiement de Chrome 111, qui devrait atterrir le 7 mars 2023, après une version bêta environ un mois auparavant. Les versions précédentes de Chrome capables de recevoir des mises à jour de composants seront également incluses dans le changement.
Combien de temps nous devrons attendre pour que le changement fasse son chemin vers les appareils Android est incertain. Contrairement à Chrome pour ordinateur, qui peut être modifié par lui-même, le certificat racine d’Android est mis à jour dans le cadre de l’ensemble du système d’exploitation, ce qui est susceptible d’entraîner un retard.
Alors que certaines applications, comme Firefox pour Android, peuvent configurer leur propre ensemble d’autorités de certification au-dessus du magasin racine du système d’exploitation, ce n’est pas le cas avec Chrome.
Alors que le géant de la technologie Apple n’a pas encore annoncé sa décision, TrustCor a publié une déclaration publique sur son site Internet (s’ouvre dans un nouvel onglet).