Une entreprise que plusieurs grands navigateurs Web s’appuyer pour vérifier que les sites Web sûrs et sécurisés ont des liens vers les agences de renseignement américaines et les forces de l’ordre, selon de nouvelles recherches.
Un exposé par le Poste de Washington (s’ouvre dans un nouvel onglet) (TWP) (paywall), qui tire ses conclusions de la documentation, des enregistrements et des entretiens avec des chercheurs en sécurité.
Les dossiers d’enregistrement panaméens de TrustCor Systems révèlent qu’il partage du personnel avec un développeur de logiciels espions précédemment identifié comme ayant des liens avec la société de l’Arizona Packet Forensics, dont les dossiers publics ont précédemment dévoilé avoir vendu des «services d’interception de communication» à des agences américaines «pendant plus d’une décennie. ”
Infrastructure de certificat racine
Google Chrome, Apple Safari, Mozilla est soi-disant navigateur sécurisé Firefox et plusieurs autres permettent tous à TrustCor de signer des certificats racine pour des sites Web qu’il juge sûrs et légitimes, en dirigeant les utilisateurs vers eux, au lieu de contrefaçons potentiellement convaincantes.
TrustCor soutient qu’il n’a jamais coopéré avec les demandes d’informations du gouvernement ou surveillé les utilisateurs au nom d’un tiers. Cependant, le Pentagone refuse de commenter et Mozilla demande des réponses à TrustCor tout en menaçant de lui retirer son autorité.
Les révélations entourant TrustCor posent un cauchemar de relations publiques pour les navigateurs comme Firefox qui se présentent comme outils de confidentialitémais ses propres produits ne peuvent désormais plus être considérés comme sûrs pour ses utilisateurs finaux.
MsgSafe, un fournisseur de messagerie de TrustCor qui prétend offrir un cryptage de bout en bout, a été dénoncé par des experts en sécurité qui s’adressent à TWP, affirmant qu’une première version du logiciel contenait un logiciel espion développé par une société liée à Packet Forensics.
Un expert familier avec le travail de Packet Forensics a explicitement confirmé qu’il avait utilisé le processus de certificat de TrustCor et MsgSafe pour intercepter les communications et « aider le gouvernement américain à attraper des terroristes présumés ».
Il a également affirmé que les produits et services de TrustCor n’étaient utilisés que pour rechercher ces « cibles de premier plan », et qu’aucun certificat racine n’a été utilisé pour se porter garant de sites Web d’imposteurs à des fins telles que la collecte de données.
Cependant, le doute semé par les révélations peut nuire à la réputation des navigateurs Web impliqués, car il n’y a aucun moyen de savoir si la stratégie de TrustCor va changer.