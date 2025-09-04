Que se passe-t-il avec le service DNS 1.1.1.1 de chez Cloudflare ? Trois certificats TLS suspects ont été émis, ce qui expose potentiellement les utilisateurs de Windows. À qui appartiennent ces certificats ? Quels sont les risques ? Voici ce que l'on sait.

Des certificats émis par une entreprise croate

Une alerte de sécurité a été émise au sujet de trois certificats TLS associés au service DNS 1.1.1.1 de Cloudflare, l'un des résolveurs DNS publics les plus utilisés au monde. Il est utilisable en tant que DNS traditionnel (flux non chiffré, sur le port 53), mais aussi avec des requêtes chiffrées via DNS-over-HTTPS (DoH).

Les certificats suspects ont été repérés récemment, et pourtant, ils ont été émis en mai 2025. Selon Ryan Hurst, PDG de Peculiar Ventures et expert en infrastructure à clé publique (PKI), le détenteur de ces certificats pourrait lancer des attaques de type "adversary-in-the-middle" (AitM). Concrètement, cela lui permettrait de se positionner entre les utilisateurs et les serveurs de Cloudflare pour mener différentes actions :

Consulter et même modifier les requêtes DNS des utilisateurs.

Intercepter les communications.

Déchiffrer le trafic.

Tout cela reste de la théorie et des hypothèses, puisque nous ne connaissons pas les intentions de l'entreprise à l'origine de l'émission de ces certificats : Fina, une entreprise croate.

Suite à la divulgation de cet incident, Cloudflare a rapidement réagi en confirmant ne jamais avoir autorisé l'émission de ces certificats. L'entreprise américaine précise : "Cloudflare n'a pas autorisé Fina à émettre ces certificats. En voyant le rapport [...], nous avons immédiatement lancé une enquête et contacté Fina, Microsoft et l'organisme de surveillance de Fina [...] À ce jour, nous n'avons pas encore eu de retour de Fina."

Pourquoi ces certificats sont-ils valides ?

L'origine du problème se situe au niveau de l'autorité de certification (CA) émettrice : Fina RDC 2020, une CA intermédiaire dépendante de Fina Root CA. Cette dernière, gérée par l'entreprise Fina, est une autorité racine reconnue de confiance par le programme de certificats de Microsoft. Le lien entre Microsoft et les utilisateurs, c'est... Windows ! Par conséquent, les 3 certificats TLS sont considérés comme valides sur les machines Windows.

De son côté, Microsoft a assuré avoir "contacté l'autorité de certification pour demander une action immédiate. Nous prenons également des mesures pour bloquer les certificats concernés via notre liste de certificats non autorisés afin de protéger nos clients."

Reste à savoir pourquoi la détection a été aussi longue…! Une chose est certaine : le mécanisme de Certificate Transparency, conçu précisément pour détecter et signaler rapidement ce type d'émission frauduleuse, n'a pas rempli son rôle. Dans le même temps, cet incident met en lumière les risques associés aux "pouvoirs" des autorités de certification racine.

Google et Mozilla ont confirmé par e-mail que Chrome et Firefox n’avaient jamais accordé leur confiance aux certificats Fina : les utilisateurs n’ont donc rien à faire. De son côté, Apple a renvoyé vers la liste officielle des autorités de certification reconnues par Safari… où la CA de Fina est tout simplement absente !

