Category Archives: SSL

Norme RGS et l’incroyable lenteur de Autorités de Certifications françaises.

Cela faisait probablement 3 ans que je n’avais rien écrit sur ce blog par manque de temps. En effet, depuis mon dernier post, bien des choses ont changé dans mon univers: SSL247 est désormais le leader européen dans le consulting et la vente de solutions de sécurité en ligne, nous somme passés de 20 salariés à 50, et vendons désormais sur 12 pays en Europe et en Amérique du Sud.

Ce post est un coup de gueule contre la norme RGS et un triste constat de l’évolution des CA françaises. Alors qu’elles avaient des boulevards pour concurrencer les géants étrangers, il semble que ces CA n’en sont encore qu’aux prémices de leur développement, et n’ont pas su prendre des virages importants au bon moment.

Leur potentiel de développement était énorme et ce pour plusieurs raisons:

– Plusieurs de ces CA sont nées il y a désormais plus de 10 ans, et ont donc une compatibilité avec les OS/navigateurs existants tout à fait acceptable. C’est la condition sine que non au développement d’une CA au niveau mondial.

– La plupart des CA françaises sont soit subventionnées d’une manière ou d’une autre, soit leurs actionnaires sont des très grands groupes du CAC 40. Leurs finances étaient donc (au moins au départ) solides.

– Les connaissances techniques des salariés de ces entreprises sont d’un très haut niveau pour la plupart avec des professionnels de l’informatique des systèmes et de la cryptographie.

– L’état français a offert à ces entreprises un niveau de confort incroyable en mettant en place une *norme franco-française* appelée RGS qui permet *quasi-uniquement* aux CA françaises de sécuriser les réseaux et sites web des administrations et du secteur public français en général.

Que s’est-il passé?

– Malgré des sites internet de vente en ligne et des *bureaux* aux 4 coins du monde pour certaines d’entre elles, le déploiement des certificats SSL et d’identification personnels de ces CA sont encore anecdotiques. En effet, les moyens techniques déployés sont largement insuffisants: pas toujours d’espaces/portail de gestion pour les clients, pas de possibilités de revente des certificats de manière simple pour les revendeurs, encore une gestion papier/fax/email/excel/CRM pour la plupart d’entre elles.

– Ces entreprises de très haut niveau technique ont oublié d’être des entreprises commerciales. Nous le voyons tous les jours chez SSL247, il y a une différence d’approche incroyable entre les CA nord-américaines (Symantec, Comodo, Digicert) et japonaises (GlobalSign) et les CA européennes inexistantes sur les cartographies mondiales alors qu’elles avaient des atouts superbes! Toutes ces CA françaises expliquent des partenariats technologiques avec des grands groupes, mais la vente de leurs solutions soit en direct soit par leur réseaux de revendeurs, qu’en est-il?

– La norme RGS a rendu les CA françaises flemmardes. Les appels entrants de toutes les administrations françaises demandant des certificats RGS, personnels ou SSL ont laissé les CA dans une position d’attente et de simple prise de commande. Pas réellement de développement, sans une prise de conscience que ces commandes tombées du ciel grâce à un accès de protectionnisme auraient du être utilisées comme levier de croissance et non considérées comme un but ultime.

– Toujours pas d’API disponibles pour les revendeurs français ou internationaux, toujours pas de certificats DV, toujours pas de livraisons simples de certificats RGS 2* pour tous les gens qui doivent déposer leurs réponses aux appels d’offres en ligne. On parle de simplification de la vie des entreprises françaises, cette norme RGS est encore une dose de complexification des lourdeurs administratives.

Malgré tous nos efforts techniques et commerciaux pour répondre à nos clients sur les offres de certificats RGS en tout genre, nous nous trouvons dans l’incapacité de proposer ces certificats dans les mêmes conditions/standards qu’avec nos partenaires étrangers. Etant français et directeur d’une SARL à Lille, cela me désole de ne pas pouvoir travailler convenablement avec des fournisseurs français sérieux et au point, mais SSL247 ne peut pas baisser la qualité de ses prestations à laquelle ses clients sont habitués. C’est aux CA françaises de se réveiller et de sortir de leur torpeur.

C’est quoi un certificat SSL?

La question la plus commune que l’on pose aux gens lors de rencontres est: “tu fais quoi dans la vie?” En effet, c’est un sujet bateau, et en général tout le monde est assez content de parler de sa vie professionnelle. Pour certains, c’est relativement simple et clair: médecin, prof, vendeur, militaire, pompier… Pour d’autres, l’explication est légèrement plus compliquée: “je travaille dans la revente de certificats SSL”. Et là s’en suit l’inévitable question “c’est quoi un certificat SSL?…”

Pour y répondre, je vous laisse découvrir une vidéo toute simple et facile à comprendre qui je l’éspère vous éclairera un peu sur mon travail…

L’API, Arme de Progression Intensive

Cet été, SSL247 a encore passé un nouveau cap en proposant à ses clients sa propre API.  C’est un véritable tournant dans le développement de notre société, car l’API est devenue pour de nombreuses sociétés une “Arme de Progression Intensive”.

Qu’est ce qu’une API ?

Pour le commun des mortels comme moi, l’API est un programme informatique qui permet de mettre en place une passerelle entre plusieurs systèmes d’information, des sites web très souvent en l’occurence. Par exemple, beaucoup de sociétés utilisent l’API de Facebook comme les jeux sociaux (Farmville & Co.) ou encore l’API de twitter comme tweetdeck ou Seesmic. L’API permet en fait à des nouvelles sociétés de s’agglutiner autour de plateformes et de créer des pôles entrepreneuriaux autour de ces concepts.

Quels sont les intérêts d’une API ?

–       « Brand Awareness ». L’API est très souvent un moyen de faire parler de sa société et de sa marque. En effet, plus il y a de sociétés qui viennent fourmiller autour de votre entreprise, plus elle est reconnue et plus vous avez de clients/utilisateurs. Facebook doit beaucoup de son succès à ces entreprises qui sont venues se servir de sa plateforme pour divertir les utilisateurs (Farmville, Paf le Chien,…) ou proposer leurs services dans ce contexte de réseau social (Sharethis, FourSquare, etc…)

–       De nouvelles perspectives et nouveaux marchés. En effet, les entreprises clientes de cette API ont elles-mêmes des clients et utilisateurs qui ne seraient peut-être pas utilisateurs de la société détentrice de l’API. Expliquons cette phrase torturée par l’exemple. Imaginons un hongrois qui a un site web dont il a acheté le nom de domaine à la société DomaineHongrie.com. Il y a très peu de chances que SSL247 revende à ce hongrois un certificat SSL car SSL247 n’a pas de site en hongrois ou de présence physique dans ce pays. Grâce à l’API, il est possible pour DomaineHongrie.com de revendre sur leur site, dans la langue du pays, et très facilement, des certificats SSL. DomaineHongrie.com profitera donc de la large gamme de certificats SSL revendus par SSL247 ainsi que de notre expertise dans le domaine et trouvera ainsi une nouvelle source de revenu. Enfin le hongrois propriétaire du site sera lui client de DomaineHongrie.com et pourra échanger dans sa langue avec un intervenant de chez lui pour tout le support dont il a besoin.

En résumé, L’API offre donc une possibilité d’un plus grand rayonnement de l’activité de la société qui la propose. Elle permet une expansion géographique plus aisée, mais aussi de s’inscrire sur des nouveaux segments de marché qui étaient jusqu’alors impossibles à toucher. Toutes les sociétés basées sur une forte existence logicielle et souhaitant une forte progression de leur entreprise proposent une API dans leur business model. C’est en suivant cette forte tendance d’ouverture vers des partenariats que SSL247 continue sa progression.

SSL: DigiNotar, une nouvelle CA corrompue

Alors que Comodo a émis en début d’année des certificats SSL frauduleux pour des grands noms de domaines comprenant live.com ou encore google.com (cf article ici), c’est au tour d’une nouvelle autorité de certification (CA) néerlandaise DigiNotar d’annoncer en cette fin de mois d’août qu’elle a du révoquer en panique près de 300 certificats SSL qui avaient été émis pour des noms de domaines préstigieux dont google.com.

Un certificat Wildcard de type *.google.com a été émis via cette CA. Il a fallu à DigiNotar plus d’un mois pour se rendre compte de la bévue et la révoquer en date du 28 août alors que le 19 juillet ils pensaient avoir révoquer tous les certificats qui avaient échappé à leur vigilance. Il semblerait qu’une fois encore cette attaque de système d’émission provienne d’Iran et permettrait essentiellement d’intercepter des emails d’iraniens pour le compte du régime.

Toutes les CA’s sont désormais des cibles privilégiées des hackers de tous bords, et elles doivent tout mettre en oeuvre pour combattre tout type d’intrusion dans leurs systèmes d’émission. Il est clair que la menace est grande de voir d’autres CAs émettre des certificats SSL frauduleux dans le futur. Cependant, les CA les plus reconnues et puissantes comme le groupe Symantec (VeriSign, Thawte ou GeoTrust) ou GlobalSign, CA revendues par SSL247 et choisies pour leur sérieux, n’ont pas émis de faux certificats et ne sont pour le moment absolument pas concernées par les soucis qu’ont pu connaître ces CAs aux standard d’émissions plus légers et aux contrôles moins poussés.

Pour éviter ces problèmes à l’avenir, le choix des CAs pour le client est évidemment d’une importance capitale. En effet, le prix rentre très souvent dans les décisions des acheteurs. Cependant, la sécurité et l’intégrité des systèmes d’émissions et de contrôle ont un coût et il va de soi que ce seul facteur prix entrant dans un schéma décisionnel ne permet pas l’optimisation de l’inviolabilité d’un système qui fonctionne par ailleurs très bien. Pour faire un parallèle simple, la crise de la vache folle et donc la qualité de la viande bovine a été mise en peril pour faute de coûts tirés vers le bas en nourrissant le bétail de farines animales. Depuis ce drame, les autorités ont réagi et mis en place des standards de production plus drastiques. Qu’attend-on pour faire le ménage dans les petites CA tirant les prix vers le bas et du coup dépassées par les hackers travaillant pour les forces obscures…

ComodoGate – Certificats SSL Corrompus

Posted on

Les certificats Comodo bannis des principaux navigateurs internet ? Ce n’est peut être plus si éloigné de la réalité. En effet, encore une fois, l’autorité de certification Comodo fait parler d’elle après l’émission de la part de l’un de ses revendeurs (GlobalTrust en Italie) de vrais faux certificats SSL pour des noms de domaines d’une importance majeure comme login.skype.comlive.com de Microsoft, google.com, ou encore mozilla.org !

SSL247 a plusieurs fois été approchée par cette autorité de certification pour la revente de leurs solutions. Nous avons toujours été très clairs : nous ne vendons pas de certificats SSL d’une autorité de certification qui n’est pas cotée en bourse, et qui montre de vraies lacunes dans les contrôles de sécurité de ses revendeurs. Nous choisissons nos partenaires pour leur sérieux et la confiance qu’ils peuvent inspirer.

Nos partenaires actuels VeriSign, GeoTrust, Thawte, ou GlobalSign n’ont JAMAIS émis de certificats corrompus de cette façon et ne sont absolument pas concernés par ce souci récurrent de Comodo. En effet d’autres cas se sont produits dans le passé avec le fameux certificat pour www.mozilla.org (déjà !) émis par l’un de leurs revendeurs qui vraisemblablement n’étaient (ne sont ?) pas suivis correctement.

Nous sommes aujourd’hui très heureux de vous proposer notre gamme de certificats émis par nos fournisseurs de confiance et vous assurons que nous ferons tout pour rester dans ces standards de qualité.

SSL247 nominée pour un Award

SSL247, l’une des sociétés pour lesquelles je travaille est en course pour les Franco-British Business Awards qui se tiennent à l’ambassade de France à Londres ce soir. En effet, SSL247 a 2 implantations d’un côté et de l’autre de la Manche, avec un bureau à Londres et l’autre à Lille.

Notre société a été nominée dans 2 catégories que sont l’innovation, et le prix de l’entrepreneuriat.

Innovation: SSL247 est le revendeur n°1 en Europe de la revente des certifticats SSL, technologie de cryptage sur internet et qui permet donc évidemment de concourir dans cette catégorie. De plus, SSL247 continue sans cesse de progresser technologiquement grâce à son équipe de développement très expérimentée qui propose de nouvelles fonctions à ses clients dans leur gestion de leur portefeuille de certificats. Nous avons donc définitivement nos chances dans cette catégorie!

PME / Entrepreunariat:  SSL247 est aussi une start-up connaissant une très forte croissance depuis sa création en 2006, avec un CA réparti de façon quasi équitable entre les 2 sociétés, la Limited à Londres et la SARL en France. Cependant, SSL247 reste une petite société gardant sa structure de “gazelle”, ce qui lui permet de répondre au mieux aux besoins de conseils et de présence de la part de ses clients.

Un Award ca sert à quoi? Je me suis donc demandé à quoi nous servirait cette reconnaissance (la nomination déjà en est une…) Plusieurs réponses se sont imposées à moi:
– L’Award donne une véritable raison à SSL247 de communiquer sur l’excellence de ses innovations, et de sa gestion envers les clients, mais aussi ses prospects en recherche de références. Communiqués de presse, logos, articles ne manqueront pas de mettre en avance l’entreprise récompensée.
– L’Award délivré par un établissement prestigieux comme la Chambre de Commerce Franco-Britannique est très crédible. La reconnaissance d’un établissement public peut être considérée comme une référence importante en interne qui prouve aux salariés de SSL247 que l’entreprise est bien gérée.
– La remise de récompense en elle-même qui se déroule à l’ambassade est une occasion rêvée de travailler son réseau et rencontrer d’autres chefs d’entreprise se trouvant dans la même situation.
– Enfin l’Award permet de gagner des récompenses sonnantes et trébuchantes. Malheureusement ce n’est pas le cas ce soir, mais parfois, ces prix peuvent s’avérer très sympathiques pour les finances des entreprises lauréates!

Vous avez d’autres raisons pour lesquelles les récompenses peuvent être intéressantes? N’hésitez pas à laisser un commentaire! On ne sait  jamais si gagnions ce soir! 🙂