Diginotar n’avait même pas installé d’anti-virus

Guy Kindermans Rédacteur de Data News

C’est l’Iran qui a abusé le plus du piratage.

Un rapport intérimaire affirme que la néerlandaise CA DigiNotar n’avait même pas installé d’anti-virus sur ses serveurs. C’est l’Iran qui a abusé le plus du piratage.

Fin août, l’on apprenait que DigiNotar, un fournisseur néerlandais de ‘certificats’ (CA, ‘certificate authority’) pour un trafic internet sûr, avait été piraté et que de faux certificats étaient en circulation pour le trafic ‘https’ sécurisé. DigiNotar était également le fournisseur de certificats pour le trafic sécurisé avec les autorités néerlandaises, et ces dernières ont pris au cours de ce dernier week-end du 3 septembre la décision de retirer la gestion du trafic à DigiNotar.

Protection insuffisante Dans un rapport intérimaire, l’entreprise de sécurité Fox-IT esquisse à présent une première image du piratage ‘Operation Black Tulip’. Il en ressort qu’en tout, 531 faux certificats ont été émis et qu’en réalité, tous les serveurs étaient vulnérables et pouvaient être abusés par les pirates. Il est apparu non seulement que tous ces serveurs appartenaient à un même domaine Windows (protégés par un faible mot de passe), mais aussi que le software sur les serveurs publics était désuet et non corrigé (‘patched’), alors que sur les serveurs examinés, il n’y avait pas non plus de logiciel anti-virus.
Sur un serveur, l’on a trouvé un script portant la même empreinte (‘fingerprint’) que lors d’un piratage précédent d’une CA. En mars 2011, un certain nombre de certificats falsifiés avaient en effet été aussi créés chez la CA américaine Comodo.

Le rapport intègre des listes de faux certificats et numéros de série, ainsi que des organisations pour lesquelles DigiNotar attribue des certificats.

L’Iran en a profité Des données issues d’un moniteur de DigiNotar (l’OCSP responder log), il est apparu que la plupart des requêtes pour le faux certificat Google provenaient d’Iran, ce qui signifie que les utilisateurs de Gmail notamment dans ce pays pouvaient être potentiellement victimes d’attaques. Cela est aussi confirmé par les chiffres cités par Trend Micro, comme repris sur le blog. Rik Ferguson, expert chez Trend Micro, prétend que non seulement les citoyens d’Iran en ont assurément été les victimes, mais que “le plus de dommages y a été aussi causé, parce que le problème n’y a pas été communiqué aussi vite qu’il aurait dû l’être”. C’est ainsi que les créateurs de navigateurs n’ont pu bloquer les certificats que quand ils ont été informés du problème en question.

Marque brûlée Tout cela fait que DigiNotar – une entreprise créée il y a 13 ans et qui occupe quelque 50 personnes – a quasiment signé son arrêt de mort comme CA. L’entreprise avait été reprise en janvier 2011 par Vasco Data Security pour un montant de 10 millions d’euros. Son COO, Jan Valcke, répète que l’entreprise néerlandaise a été rachetée dans le cadre des projets de Vasco en matière de ‘Digipass as a service’, afin que les utilisateurs puissent disposer d’un accès ‘Digipass’ unique à plusieurs services. Valcke souligne que Vasco a proposé son aide aux autorités néerlandaises (une aide qui a été acceptée) et qu’elle communique de manière très ouverte à propos de l’incident. C’est ainsi que le rapport (intérimaire) a été rendu public. Il insiste aussi sur le fait que le chiffre d’affaires de DigiNotar est limité dans celui de Vasco. A terme, il s’agira d’examiner ce que va devenir l’entreprise. Mais “la marque DigiNotar est brûlée”, reconnaît Valcke. Actuellement, “la maison est en feu. L’incendie doit être d’abord maîtrisé, et il faut protéger aussi les maisons avoisinantes…”

Sur ce dernier point, Valcke souligne qu’il n’existait encore aucun lien entre les systèmes de DigiNotar et ceux de Vasco: “Cela n’était à l’agenda que l’année prochaine. Les clients de Vasco peuvent en être sûrs.”

Selon certains messages, l’incident actuel aurait déjà créé des problèmes chez DigiNotar. Vasco aurait-elle dès lors acheté un chat dans un sac avec DigiNotar? “Ce n’est pas à l’ordre du jour”, estime Valcke. Il convient d’abord de sortir de cette crise, avant de pouvoir examiner si les autorités néerlandaises ont par exemple bien agi (en retirant la gestion à DigiNotar) et “le reste, c’est l’affaire des avocats”.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire