Un incident de sécurité majeur a secoué l’écosystème DNS en 2025 : trois certificats TLS inhabituels ont été découverts pour le service DNS 1.1.1.1 de Cloudflare, l’un des résolveurs publics les plus fiables et utilisés mondialement. Ces certificats, émis par une entreprise croate sans autorisation, exposent les utilisateurs Windows à des risques potentiellement graves, soulevant des questions fondamentales sur la confiance accordée aux autorités de certification et les mécanismes de détection des fraudes au sein de l’infrastructure PKI.
Comment trois certificats TLS se sont retrouvés sans autorisation sur le DNS 1.1.1.1 de Cloudflare
L’alerte a été lancée récemment, bien que les certificats TLS inhabituels aient été émis en mai 2025. Ces trois certificats ont été générés par Fina RDC 2020, une autorité de certification intermédiaire dépendante de Fina Root CA, une entité gérée par Fina, une entreprise basée en Croatie. Le problème central réside dans le fait que cette autorité racine est reconnue de confiance par le programme de certificats de Microsoft, ce qui explique pourquoi ces certificats demeurent valides sur les systèmes Windows.
Cloudflare a rapidement réagi à la découverte en publiant une déclaration officielle : « Cloudflare n’a pas autorisé Fina à émettre ces certificats ». L’entreprise a précisé avoir lancé une enquête immédiate dès la connaissance du rapport de sécurité et avoir contacté Fina, Microsoft ainsi que l’organisme de surveillance chargé de contrôler cette autorité de certification. Cependant, à ce jour, aucune réponse formelle n’a été obtenue de la part de Fina concernant les circonstances ou les motivations ayant conduit à cette émission non autorisée.
Le détail technique révèle une chaîne de confiance problématique. Puisque Microsoft reconnaît Fina Root CA comme autorité de certification fiable, tous les certificats issus de cette chaîne sont automatiquement considérés comme légitimes sur Windows. Cette architecture d’infrastructure PKI, bien que nécessaire pour fonctionner, crée des points de défaillance critiques qui peuvent être exploités si une autorité intermédiaire compromise émet des certificats malveillants.
La théorie des attaques possibles avec ces certificats TLS inhabituels
Ryan Hurst, PDG de Peculiar Ventures et expert reconnu en matière d’infrastructure à clé publique (PKI), a expliqué les risques concrets associés à la possession de ces certificats. Si un acteur malveillant disposait de ces certificats et des clés privées associées, il pourrait orchestrer une attaque de type « adversary-in-the-middle » (AitM), une technique sophistiquée de cybersécurité permettant d’intercepter les communications.
Voici les capacités potentielles qu’un attaquant pourrait déployer :
- 🔍 Consulter les requêtes DNS : accéder à l’historique complet des domaines visités par les utilisateurs
- ✏️ Modifier les requêtes DNS : rediriger les utilisateurs vers des serveurs malveillants ou des sites contrefaits
- 🔐 Intercepter les communications : placer le serveur malveillant en position intermédiaire entre l’utilisateur et Cloudflare
- 📡 Déchiffrer le trafic chiffré : en s’authentifiant auprès des clients comme légitime, décrypter les communications sensibles
- ⚠️ Effectuer des attaques de phishing avancées : rediriger vers des sites contrefaits avec une authentification valide
Il est important de souligner que ces scénarios restent théoriques à ce stade. Aucune exploitation confirmée de ces certificats n’a été rapportée, et les intentions réelles de Fina concernant l’émission de ces certificats demeurent inconnues.
Pourquoi le mécanisme de détection des certificats défectueux a-t-il échoué ?
Une question majeure surgit naturellement : comment ces certificats TLS inhabituels ont-ils pu être émis sans détection immédiate ? Le système de Certificate Transparency (CT), mécanisme créé spécifiquement pour identifier et signaler rapidement ce type d’émission frauduleuse, n’a pas rempli son rôle de manière efficace. Ce protocole, devenu un standard dans l’industrie, impose aux autorités de certification de consigner publiquement tous les certificats émis dans des journaux immuables, accessibles à tous.
L’existence de ces certificats en mai 2025 sans détection systématique immédiate soulève des questions sur la surveillance et l’indexation des journaux Certificate Transparency. Bien que le mécanisme soit théoriquement robuste, son efficacité opérationnelle dépend de plusieurs facteurs : la rapidité de propagation entre autorités de certification, la mise à jour des bases de données de surveillance, et la capacité des outils de détection à identifier les anomalies en temps réel.
L’incident a mis en lumière un problème structurel fondamental : les pouvoirs considérables accordés aux autorités racine. Une autorité racine compromise ou contrôlée peut émettre des certificats intermédiaires qui, à leur tour, génèrent une multitude de certificats malveillants. Le système de confiance hiérarchique, bien que nécessaire, concentre donc un risque significatif au sommet de la chaîne.
Les réponses différenciées des navigateurs et des systèmes d’exploitation
La fragmentation de la réponse à cet incident révèle l’écosystème complexe de la certification numérique. Google et Mozilla ont tous deux confirmé par communication officielle que leurs navigateurs respectifs, Chrome et Firefox, n’avaient jamais accordé leur confiance à l’autorité de certification Fina. Cela signifie que les utilisateurs de ces navigateurs, même sur Windows, n’étaient pas affectés par cette vulnérabilité.
Apple a adopté une approche minimaliste : l’entreprise a simplement renvoyé vers sa liste officielle d’autorités de certification reconnues par Safari, dans laquelle la CA de Fina est totalement absente. Cette stratégie de confiance restrictive, où Apple n’inclut que les autorités qu’elle a spécifiquement approuvées, offre une protection intrinsèque contre ce type d’incident.
Microsoft, en revanche, a dû prendre des mesures correctives. Le géant du logiciel a annoncé avoir contacté Fina pour demander une action immédiate, et a déclaré mettre en place un blocage des certificats concernés via sa liste de certificats non autorisés (Certificate Revocation List ou CRL), une mesure de mitigation visant à protéger ses utilisateurs Windows.
| 🌐 Navigateur / Système | Status de confiance | Risque pour les utilisateurs | Mesure prise |
|---|---|---|---|
| Chrome (Google) | N’a jamais fait confiance à Fina | ⚠️ Aucun | Aucune action nécessaire |
| Firefox (Mozilla) | N’a jamais fait confiance à Fina | ⚠️ Aucun | Aucune action nécessaire |
| Safari (Apple) | Fina absent de la liste approuvée | ⚠️ Aucun | Architecture de confiance restrictive |
| Internet Explorer / Edge (Microsoft) | Fina reconnu comme autorité de confiance | 🔴 Risque potentiel | Blocage via liste de révocation de certificats |
L’infrastructure PKI, fondation fragile de la confiance en ligne
Cet incident expose les défaillances inhérentes à l’infrastructure de clé publique (PKI), système fondamental garantissant la sécurité des communications internet. La PKI repose sur un modèle de confiance hiérarchique où les autorités de certification racine sont les gardiens ultimes de la confiance numérique. Chaque autorité intermédiaire hérite de ce pouvoir, créant ainsi une chaîne de dépendance mutuelle.
Le problème fondamental : si une autorité intermédiaire est compromise, contrôlée ou fait preuve de mauvaise gestion, l’ensemble de l’écosystème construit sur cette chaîne devient vulnérable. Les certificats TLS inhabituels émis pour DNS 1.1.1.1 illustrent précisément cette fragilité. Fina RDC 2020 a émis des certificats pour un domaine qu’elle ne contrôle pas et n’était pas autorisée à certifier, un acte qui aurait dû être impossible si les mécanismes de contrôle fonctionnaient correctement.
L’incident révèle aussi comment la confiance est décentralisée dans ce modèle. Cloudflare, l’entreprise légitime possédant 1.1.1.1, n’avait aucun contrôle sur ces certificats émis en son nom. De même, Microsoft, qui reconnaît Fina comme autorité fiable, n’était pas au courant de cette émission. Cette fragmentation de la responsabilité caractérise les points faibles de l’architecture PKI contemporaine.
Les leçons immédiates pour les administrateurs et les organisations
Pour les organisations utilisant le DNS 1.1.1.1 de Cloudflare en environnement Windows, les recommandations immédiates restent simples. Microsoft a assuré que les certificats concernés seraient bloqués via sa liste de révocation, minimisant ainsi les risques. Cependant, les administrateurs système doivent vérifier que leurs systèmes appliquent automatiquement les mises à jour de sécurité Windows, où ces listes de révocation sont régulièrement mises à jour.
Sur le plan stratégique, cet incident souligne l’importance de diversifier les sources de confiance. Utiliser plusieurs résolveurs DNS, implémenter le DNS-over-HTTPS (DoH) pour chiffrer les requêtes DNS, et adopter des outils de monitoring de certificats sont autant de mesures de résilience. Les organisations critiques devraient également surveiller les journaux Certificate Transparency pour détecter tout certificat émis pour leurs domaines sans autorisation.
Il convient également de questionner le modèle de confiance lui-même. Pourquoi une autorité intermédiaire croate possède-t-elle le pouvoir de certifier des domaines américains ? La réponse : c’est le fonctionnement même de la PKI. Chaque autorité racine approuvée par un système d’exploitation détient ce pouvoir universel, indépendamment de sa localisation ou de ses pratiques de gouvernance.
Vers une sécurisation renforcée des certificats TLS et de l’authentification DNS
Cet événement catalyse une réflexion collective sur l’amélioration de la cybersécurité de l’infrastructure PKI. Plusieurs solutions ont été proposées par les experts en sécurité informatique pour prévenir des incidents similaires. L’une d’elles consiste à renforcer le Certificate Pinning, une technique permettant aux applications de vérifier que le certificat présenté correspond exactement à celui qu’elles connaissent, indépendamment de la chaîne de certification.
Une autre approche implique de restreindre les pouvoirs des autorités de certification intermédiaires via des contrôles techniquement appliqués. Les certificats X.509, format standard des certificats TLS, incluent un champ « Name Constraints » qui permet à une autorité racine de limiter géographiquement ou domainiquement les domaines qu’une autorité intermédiaire peut certifier. Une utilisation plus systématique de cette fonctionnalité pourrait prévenir des émissions non autorisées.
L’amélioration du monitoring de Certificate Transparency constitue également une priorité. Des outils plus sophistiqués et largement accessibles devraient permettre aux organisations de détecter en temps quasi-réel tout certificat émis pour leurs domaines. Google et d’autres acteurs de l’industrie investissent dans cette direction, mais la démocratisation de ces technologies reste inachevée.
Le rôle émergent des normes et des contrôles de gouvernance
Les autorités de certification opèrent traditionnellement sous audits externes limités et des normes minimales définies par le Baseline Requirements du CA/Browser Forum. Ces normes fixent les règles que toute CA acceptée par les navigateurs doit respecter. Toutefois, le cas de Fina montre que ces standards, bien que nécessaires, s’avèrent insuffisants pour prévenir les émissions non autorisées.
Des appels en faveur de régulations plus strictes émergent dans l’industrie. Certains proposent que les gouvernements ou des organismes indépendants intensifient les inspections des autorités de certification, particulièrement celles opérant depuis des juridictions moins régulées. D’autres suggèrent un modèle de transparence accrue, où chaque autorité intermédiaire publierait une liste des domaines qu’elle est autorisée à certifier.
La sécurisation du DNS 1.1.1.1 de Cloudflare, comme celle de tout service critique d’infrastructure internet, ne dépendra donc pas d’une seule mesure, mais d’une convergence d’améliorations technologiques, de pratiques renforcées et d’une gouvernance mieux encadrée. Cet incident, bien que préoccupant, offre une opportunité pour l’industrie d’évoluer vers un modèle de confiance plus robuste et verifiable.
Les trois certificats TLS inhabituelle émis pour 1.1.1.1 constituent un signal d’alerte majeur pour l’écosystème de la cybersécurité en ligne. Bien que les risques immédiats aient été atténués par les réponses des éditeurs de systèmes d’exploitation et de navigateurs, l’incident démontre les limites structurelles de l’infrastructure PKI actuelle et l’urgence de mettre en place des mécanismes de contrôle plus rigoureux. L’expertise technique, combinée à une gouvernance renforcée et à des outils de monitoring avancés, constitue la voie pour restaurer une confiance durable dans l’authentification TLS et la sécurité de l’infrastructure DNS mondiale.
