À une époque où la confiance numérique est une monnaie rare, les projets open source liés à la cryptographie et à l’identité numérique doivent se soumettre à des contrôles rigoureux. C’est dans ce contexte que s’inscrit le travail de Francesco Ongaro, célèbre hacker éthique italien, qui a mené une analyse importante du code source pour CAcert, une autorité de certification (CA) non commerciale et gérée par la communauté.

Qu’est-ce que CAcert ?

CAcert est une autorité de certification gratuite et communautaire, créée pour fournir des certificats numériques X.509 aux utilisateurs, développeurs et organisations souhaitant chiffrer leurs e-mails, authentifier des serveurs et garantir l’intégrité des communications. Contrairement aux autorités de certification commerciales, CAcert repose sur un modèle de confiance distribuée, validée par des rencontres physiques et ce que l’on appelle la « Web of Trust » (toile de confiance).

Le projet, purement à but non lucratif, se distingue par la transparence et l’accessibilité de son code source, offrant à la communauté la possibilité de contribuer directement à sa sécurité.

CAcert peut être considérée comme l’archétype des initiatives modernes de décentralisation de l’identité et des systèmes open source de gestion de la confiance, des concepts aujourd’hui centraux dans le développement de solutions telles que les Identifiants Décentralisés (DID), l’Identité Souveraine (SSI) et les frameworks basés sur la PKI blockchain. Bien qu’opérant dans un contexte technique et réglementaire très différent, CAcert a anticipé l’idée que la sécurité numérique peut (et doit) être construite de manière collaborative, transparente et non centralisée.

Dans un certain sens, CAcert a anticipé le rôle de Let’s Encrypt dans la promotion de l’adoption de la cryptographie, mais sans le soutien des grandes entreprises technologiques ni l’intégration automatique dans les navigateurs. Il s’agissait d’une autorité de certification gratuite et transparente, mais autofinancée et soutenue entièrement par sa communauté, avec un modèle plus artisanal et décentralisé que les initiatives actuelles sponsorisées par l’industrie.

Une approche éthique et technique de l’analyse du code

Francesco Ongaro, également connu sous le nom d’ascii, est un expert en cybersécurité et fondateur d’USH, un laboratoire de recherche italien. En 2007, Ongaro a entamé un audit volontaire et indépendant du code source de CAcert, en analysant notamment les fonctionnalités web accessibles au public.

Durant le Month of CAcert Bugs (Mois des bugs de CAcert), Ongaro a identifié plus de 9 vulnérabilités dans la plateforme, démontrant l’efficacité d’une approche systématique de l’analyse du code. Ce travail a mis en évidence des points critiques importants dans les fonctionnalités web accessibles au public, soulignant la nécessité d’une révision continue, même dans les projets open source les plus établis.

Les vulnérabilités apparues et les réactions du projet CAcert

Les vulnérabilités identifiées par Ongaro ont été considérées comme graves par le conseil de CAcert, comme indiqué dans les procès-verbaux officiels du 17 septembre 2007. En particulier, la discussion a mis en lumière :

• La nécessité d’accroître les révisions communautaires du code.
• L’urgence de séparer les responsabilités entre le développement logiciel et l’administration système, afin de réduire les conflits d’intérêts et les risques opérationnels.

Pourquoi cet audit représente une étude de cas fondamentale

L’audit mené par Ongaro représente un exemple concret de divulgation responsable et de collaboration entre hackers éthiques et projets open source. L’identification et la divulgation contrôlée de vulnérabilités critiques ont permis à CAcert d’augmenter son niveau de sécurité et ont renforcé le message selon lequel la confiance numérique n’est jamais acquise, mais doit être continuellement vérifiée et construite avec transparence.

Le cas CAcert anticipe bon nombre des pratiques aujourd’hui considérées comme essentielles dans le monde DevSecOps et dans la gouvernance de la sécurité open source : revues de code ouvertes, séparation des rôles, gestion structurée des vulnérabilités et implication d’experts externes.