C’est désormais officiel : Verisign détient le monopole mondial des certificats SSL. Les autorités américaines lui ont donné leur feu vert pour racheter le numéro un du secteur, Thawte. Amorcé l’an dernier, ce rachat aura tout de même coûté 652 millions de dollars. Désormais, d’après les relevés du cabinet d’études Netcraft, Verisign et Thawte détiennent de facto plus de 90 % des parts de ce marché. “Nos concurrents doivent se satisfaire des miettes”, ne peut, à ce titre, s’empêcher de claironner Jean-Philippe Donnio, directeur général de Tags Broadcasting System, représentant français de Thawte. Sur internet, les certificats SSL constituent encore le principal rempart de la sécurité. Simple d’emploi, l’authentification repose sur un échange bilatéral entre le navigateur du client et le serveur d’un site web, contrastant avec les échanges tripartites propres aux infrastructures à clés publiques classiques. Dans le cas des certificats SSL, le navigateur de l’internaute stocke lui-même les clés racines des autorités de certification. Lesquelles servent à authentifier le certificat du serveur, signé au préalable, par la clé racine de l’autorité de certification.
Les concurrents engagent une course contre la montre
Parti très tôt, Verisign a créé son autorité de certification sur internet dès 1996. Sa clé racine était ainsi présente dans les toutes premières versions du Navigator de Netscape. Face à la base installée ainsi créée, les sites de commerce électronique estiment qu’ils n’ont donc guère le choix en matière de fournisseurs. Les autorités de certification concurrentes de Verisign engagent actuellement une course contre la montre pour rattraper le temps perdu. “La création d’une base installée de même envergure prendra du temps”, avertit toutefois Jean-Philippe Donnio.Le feu vert américain au rouleau compresseur Verisign n’était cependant pas acquis. Jusqu’à la fin de l’année dernière, la division Antitrust du département américain de la Justice n’avait eu de cesse de réclamer des compléments d’informations à Verisign. Outre-Atlantique, Entrust, le numéro deux mondial des infrastructures à clés publiques, a déposé un recours juridique. Pour cause : les certificats émis par sa propre autorité de certification, Entrust. net, lancée en 1999, fonctionnent avec la clé racine… de Thawte.Dans la filiale française d’Entrust, la sérénité est toutefois de mise. On souligne qu’après négociations, la clé d’Entrust. net est en mode natif sur les versions actuelles de Navigator et d’Internet Explorer. Tout en ajoutant que les accords de certification croisés avec Thawte sont valides jusqu’en 2003.
Une domination véritablement sans partage
Reste que la clientèle de Thawte est désormais encouragée à migrer sur la gamme de certificats SSL éditée par Verisign. Une telle évolution ne serait pas à l’ordre du jour en France. Les profils des utilisateurs de Verisign et de Thawte sont tout de même très différents. Et pourtant, le verrouillage se vérifie tout autant en France. L’an dernier, Thawte détenait 60 % du marché des certificats SSL. L’affilié français de Verisign, Certplus, s’arrogeait quant à lui une part de 32 %, tandis que les certificats directement émis en France par Verisign représentaient 8 % du marché. Certplus bénéficie de la force de frappe de son actionnaire principal, France Télécom, qui, jusque- là, n’était pas client de Thawte. A l’échelle mondiale, ce dernier a, pour sa part, tissé un réseau de distribution présent dans vingt-deux pays auquel sont affiliés trois mille hébergeurs et fournisseurs d’accès à internet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.