« DigiNotar Hacking » : faux certificat émis pour « *google.com »

SSL_certificates

On se souvient tous de l'affaire dite du "Comodo Hacking" où des faux certificats d'authentification SSL avaient été émis. L'histoire s'est à nouveau reproduite avec un faux certificat émis cette fois-ci par la société hollandaise DigiNotar pour les noms de domaine en "*google.com".

La surcouche SSL est essentielle pour la confiance que les utilisateurs peuvent avoir en internet. Ce sont des sociétés d’authentification faisant autorité qui sont en charge de l’émission des certificats d’authentification délivrés pour des domaines.
Dans l’affaire du « Comodo Hacking », 9 faux vrais certificats avaient émis pour 7 domaines appartenant à des grosses sociétés dont Google, Microsoft, Yahoo… L’utilisateur pouvait dès lors se rendre sur un site officiel (croyait-il) et se trouvait en fait sur un faux site empruntant le nom de domaine officiel.
Dans le « DigiNotar hacking » tel que ITespresso l’a appelé, c’est à nouveau un hacker iranien qui a « passé » commande pour rien de plus qu’un certificat pour les noms de domaine en « *google.com ». Celui-ci a été délivré le 11 juillet 2011. Google l’a révoqué depuis lors mais il est difficile de savoir quels ont pu être les dégâts. Mozilla a également révoqué ses certificats d’authentification émis par DigiNotar.
C’est un coup rude pour internet et en particulier pour ces sociétés qui possèdent les « clefs » (au sens propre comme au figuré) d’internet. La société Verisign, autorité racine qui avait délégué une partie de son autorité à Comodo, est pointée du doigt puisqu’elle a également délégué l’authentification à… DigiNotar.
Si les certificats ont été révoqués, certains navigateurs ne consultent pas les listes de révocation (Google Chrome sous Linux à titre d’exemple).
Vous pouvez visualiser les sociétés dont les certificats sont « acceptés » par votre navigateur en allant dans les menus. C’est expliqué à la fin de cet article pour Firefox par exemple.

[ITespresso]

Tags :
Dernières Questions sur UberGizmo Help
  1. Oui c’est vrai. Jusqu’ici la sécurité des Certs étaient une bonne mise en garde. Mais depuis quelques temps, un nombre important de failles se sont ouvertes. Aïe !

  2. Attention, VeriSign n’a RIEN à voir avec Comodo. Ce sont des concurrents frontaux. Plusieurs sites/blogs reprennent cette fausse information mettant en cause VeriSign du groupe Symantec alors qu’ils sont irréprochabes en terme d’émissions de certificats.

    Je reste évidemment à votre disposition si besoin de plus d’information.

    1. #benjamin, Verisign et Comodo sont effectivement concurrents mais Verisign a bien délégué des certificats SSL à Comodo.

      Les deux sociétés se rejettent les responsabilités lorsqu’il y a des pbs avec des certificats SSL. Mais Verisign est l’autorité racine dans le cas du « comodo hacker ».

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité