Menace sur la marque Let's Encrypt
Publié par Jacques Cheminat le | Mis à jour le
ISGR est en conflit avec l'autorité de certification Comodo qui a déposé la marque Let's Encrypt pour en interdire son exploitation.
Le succès de Let's Encrypt, initiative proposant des certificats gratuits pour sécuriser les sites web, ne fait pas que des heureux. Les autorités de certification traditionnelles voient dans l'arrivée de Let's Encrypt une menace pour leur modèle économique et leurs contrats.
On ne s'étonnera donc pas de découvrir quelques méthodes pour empêcher la concurrence de se développer. ISRG (Internet Security Research Group), la structure derrière l'offre Let's Encrypt, se trouve en conflit avec l'autorité de certification Comodo Group. Cette dernière a déposé au moins trois marques autour du terme « Let's Encrypt » pour des services liés au certificat. ISRG constate que ces dépôts de marque ont été réalisés longtemps après le premier usage du terme Let's Encrypt en novembre 2014.
Une action juridique possible ?
Par contre, le groupe ne donne aucun élément sur le fait d'avoir déposé lui-même la marque Let's Encrypt. Une erreur si ce n'est pas le cas. ISRG, dont les membres sont Cisco, Akamai, Mozilla, mais aussi l'Electronic Frontier Foundation, ne compte pas se laisser faire et a déjà sollicité ses conseillers juridiques pour demander à Comodo de cesser son aventure de dépôt de marque. Mais sans succès. Le risque, si les dépôts sont validés, est de voir Comodo demander à ISRG d'arrêter d'utiliser purement et simplement la marque Let's Encrypt.
Pour mémoire, Comodo group n'est pas une autorité de certification inconnue. Elle a été au centre d'une affaire de certificats volés en mars 2011. Des pirates avaient exploité une faille chez Comodo pour ouvrir un compte utilisateur et commander 9 certificats pour 7 domaines (Google, Yahoo, Microsoft Live, etc). Ces certificats avaient été révoqués, mais Comodo a constaté que ces faux « passeports numériques » continuaient d'être exploités après la révocation permettant ainsi de tromper les utilisateurs dont les plate-formes (système d'exploitation, navigateur.) ne prenaient pas soin de vérifier ces listes de révocation
A lire aussi :
Let's Encrypt laisse fuiter les adresses e-mail de ses utilisateurs
Let's Encrypt : un million de certificats SSL et nouveau nom en vue