Open MPIC : une solution open source pour une validation multi-perspective sécurisée

Les autorités de certification (CA) sont désormais sous pression.

Les nouvelles exigences de base du CA/Browser Forum, plus précisément la section 3.2.2.9, introduisent un déploiement progressif de la corroboration multi-perspective de l'émission (MPIC). Ces règles visent à mettre fin à un type d'exploitation dangereux : le détournement du protocole BGP (Border Gateway Protocol).

Le BGP est un système vieux de plusieurs décennies qui aide à acheminer le trafic Internet, mais il n'a pas été conçu dans un souci de sécurité. Les pirates peuvent exploiter le BGP pour rediriger silencieusement les requêtes, y compris les contrôles de validation de domaine utilisés par les CA, créant ainsi une brèche permettant d'usurper l'identité de sites Web et de tromper une CA afin qu'elle émette un certificat frauduleux.

En fait, les attaques BGP sont devenues un problème suffisamment grave pour que même le gouvernement américain ait exprimé ses inquiétudes à ce sujet.

Pour remédier aux attaques BGP, il faut valider une entrée DNS à partir de plusieurs endroits distincts dans la hiérarchie Internet (« perspectives multiples »). Par conséquent, les nouvelles règles MPIC exigent des autorités de certification qu'elles valident le contrôle des domaines et les enregistrements CAA à partir de plusieurs points d'observation mondiaux. Pour aider les autorités de certification à y parvenir, Sectigo participe au développement d'Open MPIC, un cadre open source communautaire initialement créé par des chercheurs de Princeton.

Examinons de plus près les attaques BGP, comment MPIC les bloque et comment Sectigo contribue à l'écosystème Open MPIC.

Le problème : les attaques BGP sur la validation de domaine

Lorsqu'une autorité de certification effectue un contrôle de domaine, elle part du principe que le trafic qu'elle envoie atteint le bon serveur. Mais ce n'est pas toujours le cas.

Le détournement BGP permet aux attaquants de rediriger discrètement le trafic sur Internet. Il ne brise pas le cryptage et ne compromet pas le serveur, il change simplement les panneaux de signalisation. Si une autorité de certification effectue la validation à partir d'un seul réseau, elle peut être amenée à croire qu'un domaine est sous le contrôle du demandeur alors que ce n'est pas le cas.

« Ce qui rend le détournement BGP si dangereux, c'est qu'il n'est pas nécessaire de détourner la route pendant très longtemps pour réussir », explique Dmitry Sharkov, architecte principal chez Sectigo et architecte en chef pour Open MPIC. « Il suffit de détourner brièvement la vérification de validation d'une autorité de certification vers un serveur malveillant, de la tromper pour qu'elle émette un certificat légitime, puis de disparaître. C'est tout ce qu'il faut. »

M. Sharkov compare le détournement BGP à une scène du film Mission : Impossible - Protocole Fantôme :

« Deux méchants pensent se retrouver dans un hôtel, mais l'un d'eux parle en réalité à Tom Cruise déguisé. Ils ont été induits en erreur par un panneau. C'est exactement ce qui se passe lors d'un détournement BGP, sauf que c'est l'autorité de certification qui est dupée. »

Les conséquences sont graves : une fois qu'un certificat frauduleux est émis, il peut être utilisé pour usurper l'identité de sites légitimes et intercepter le trafic crypté.

La solution : la corroboration multi-perspective de l'émission (MPIC)

La solution consiste à rendre la validation des certificats moins dépendante d'un seul itinéraire. C'est l'idée qui sous-tend le MPIC.

Au lieu de valider un domaine à partir d'un seul emplacement réseau, la MPIC exige des autorités de certification qu'elles effectuent des vérifications à partir de plusieurs points de vue géographiquement divers. Si une région est induite en erreur par un détournement BGP, d'autres peuvent détecter l'anomalie et empêcher l'émission du certificat.

« Les autorités de certification doivent désormais confirmer le contrôle du domaine à partir de points de vue distincts et éloignés », explique M. Sharkov. « Ce n'est pas facultatif, c'est en train de devenir la norme. »

Depuis le 15 mars 2025, les autorités de certification sont tenues de surveiller les validations de domaine à partir d'au moins deux points de vue réseau distants. À partir du 15 septembre, la mise en application entrera en vigueur, exigeant une logique de quorum pour garantir que si un seul point de vue est en désaccord, l'émission peut être suspendue. Et du 15 mars au 15 décembre 2026, la barre sera encore placée plus haut, avec un déploiement progressif vers cinq perspectives géographiquement diversifiées.

L'objectif est clair : rendre statistiquement improbable qu'un attaquant puisse tromper toutes les perspectives à la fois.

Qu'est-ce que l'Open MPIC ?

L'Open MPIC est un cadre open source conçu pour aider les autorités de certification à répondre aux exigences du MPIC sans avoir à réinventer leur pile de validation.

Il s'agissait au départ d'une preuve de concept développée par des chercheurs de l'université de Princeton : trois scripts Python destinés à tester la viabilité du MPIC. Aujourd'hui, M. Sharkov, de Sectigo, dirige l'architecture et travaille en collaboration avec les cofondateurs Henry Birge-Lee et Grace Cimaszewski pour développer et maintenir la bibliothèque principale du projet, les spécifications de l'API et les solutions de déploiement.

« Nous ne voulions pas que les autorités de certification partent de zéro ou déploient leurs propres solutions fragiles », explique M. Sharkov. « Open MPIC leur donne une longueur d'avance : il est ouvert, extensible et prêt à évoluer. »

Open MPIC prend actuellement en charge deux options de déploiement principales :

• AWS Lambda : une configuration sans serveur qui s'adapte automatiquement. Idéal pour les autorités de certification qui souhaitent une validation rapide et flexible avec un minimum de frais généraux.
  
• Microconteneurs Docker : pour un contrôle total. Déployez en production sur EC2 ou Kubernetes, et testez localement à l'aide de Docker Compose.

Les fonctionnalités intégrées comprennent la logique de quorum, l'application de la distance et la diversité des perspectives, toutes conformes aux règles MPIC du CA/B Forum.

« Vous pouvez configurer Open MPIC pour qu'il fonctionne dans trois régions aujourd'hui ou dans quinze demain », a déclaré M. Sharkov. « Il prend en charge la logique de sélection de perspective, ce qui vous permet de vous conformer à des exigences telles que la séparation minimale de 500 km et la diversité des registres régionaux. »

Enfin, Open MPIC n'est pas un artefact académique ou un dépôt ponctuel. Il est géré conjointement par Sectigo et Princeton, avec des commentaires et des rapports de bogues actifs provenant d'autres autorités de certification.

« Nous avons un Slack en direct où les autorités de certification posent des questions sur le déploiement, soumettent des problèmes et suggèrent même de nouvelles fonctionnalités », explique M. Sharkov. « Certains contributeurs restent anonymes, mais la boucle de rétroaction renforce déjà le projet. »

Quelle est la prochaine étape pour Open MPIC ?

Alors que de plus en plus d'autorités de certification se préparent à la mise en œuvre complète du MPIC le 15 septembre 2025, Open MPIC se prépare à une utilisation à grande échelle. M. Sharkov note que le projet évoluera sur plusieurs fronts : performances, prise en charge des fonctionnalités et réactivité aux commentaires de l'industrie.

« Dans un avenir assez proche, nous allons continuer à affiner les performances et le réglage, simplement du point de vue de la convivialité », a déclaré M. Sharkov. « À mesure que les autorités de certification, y compris Sectigo bien sûr, commenceront à utiliser Open MPIC à plein régime, nous voulons nous assurer qu'il peut gérer efficacement ce volume. »

L'une des prochaines étapes importantes consiste à prendre en charge MPIC pour les validations S/MIME, comme l'exigent les phases futures des exigences de base du CA/B Forum. Au-delà de cela, Open MPIC se positionne comme une base flexible, dirigée par la communauté, capable d'évoluer avec l'écosystème.

« Nous pourrons peut-être l'utiliser tel quel, mais cela dépendra vraiment de ce que la communauté apprendra, et de ce que Sectigo apprendra, à mesure que nous déploierons Open MPIC à grande échelle », a déclaré M. Sharkov. « Si les exigences changent ou si nous découvrons des domaines à améliorer, nous serons bien placés pour nous adapter. Open MPIC est conçu pour évoluer. »

Un engagement plus large en faveur de la sécurité open source

Open MPIC ouvre la voie à un modèle de validation de domaine plus résilient, dans lequel la délivrance des certificats repose sur un consensus et non sur la confiance dans une seule voie.

MPIC n'est plus une idée théorique, c'est une politique. Et Open MPIC est un cadre open source fonctionnel qui aide les autorités de certification à le mettre en œuvre sans partir de zéro.

Contribuer au WebPKI est un principe fondamental pour une autorité de certification réputée. Sectigo contribue depuis longtemps à l'infrastructure partagée derrière divers projets WebPKI open source, notamment la transparence des certificats (crt.sh), la validation linting (pkimetal, zlint, certlint) et les outils de l'écosystème (Certbot, CT logs, CA cross-signing). Détentrice de plus de postes de direction au sein du CA/Browser Forum que toute autre autorité de certification, Sectigo contribue également régulièrement à l'élaboration de normes, les met en œuvre rapidement et aide l'écosystème à les adopter à grande échelle.

Open MPIC poursuit ce travail en offrant une solution pratique et conforme aux normes pour faire face à une menace très réelle.

Si vous souhaitez participer à l'ingénierie d'Open MPIC, n'hésitez pas à rejoindre l'espace de travail Slack (openmpic.slack.com) et la liste de diffusion.

Pour plus d'informations, consultez le site web d'Open MPIC.

Related posts:

Root Causes 327: Qu'est-ce que la validation de domaine multiperspective ? (MPIC)

Root Causes 441: Une nouvelle initiative de la Maison Blanche vise le BGP

Root Causes 216: Qu'est-ce que crt.sh ?