Un certificat SSL falsifié provenant de chez DigiNotar aux Pays-Bas a été abusé pour commettre des attaques contre des utilisateurs de Google.
Un certificat SSL falsifié provenant de chez DigiNotar aux Pays-Bas a été abusé pour commettre des attaques contre des utilisateurs de Google.
Un certificat SSL garantit à l’utilisateur que le site sécurisé (ou les pages sécurisées sur ce site) avec lequel il prend contact, est aussi vraiment le site (ou les pages) concerné(es). Ces certificats peuvent être attribués par des ‘certificate authorities’ (CA), comme la néerlandaise DigiNotar, et sont utilisés par un navigateur entre autres lors de l’établissement des connexions avec des sites sécurisés. Il peut s’agir ici d’un trajet sûr vers des applications comme le webmail, mais aussi à des fins d’e-commerce.
Faux certificat Le 10 juillet dernier, des tiers ont réussi à créer chez DigiNotar un faux certificat pour ‘google.com’, ce qui a permis de lancer des attaques dites ‘man in the middle’ contre les utilisateurs de services de Google, comme Gmail. Des inquiétudes à ce sujet ont entre autres été exprimées sur un forum de support de Google et ont conduit à y voir l’intervention du gouvernement iranien. Un internaute en Iran a constaté le problème, parce qu’il utilisait une version récente de Chrome, qui a généré un avertissement ‘certificate’. Entre-temps, des entreprises et éditeurs de logiciels ont déjà réagi à ce pseudo-certificat. Microsoft l’a déjà supprimé de la liste des certificats autorisés dans ses navigateurs, alors que Google envisage de bloquer tous les certificats de DigiNotar. Mozilla préparerait aussi des mises à jour de Firefox notamment qui n’accepteraient plus les certificats de DigiNotar. Des informations circulent également à propos de la manière dont les utilisateurs finaux peuvent faire de même.
En janvier 2011, DigiNotar avait été rachetée par Vasco Data Security Int. Cette entreprise n’a encore donné aucune explication sur le sujet du certificat falsifié et de la perte de confiance en DigiNotar.
Préoccupation grandissante Le faux certificat de DigiNotar est du reste déjà le deuxième cas en la matière. Plus tôt cette année, après le piratage de RSA par CA Comodo, un certain nombre de certificats falsifiés avaient en effet déjà été créés. Entre-temps, ils auraient certes été bloqués, mais manifestement, cela a pris un certain temps. L’Electronic Frontier Foundation (EFF) – qui se qualifie elle-même “de défenseur de première ligne des libertés dans le monde en réseau” – lance une mise en garde selon laquelle ce ne sont pas là les premiers problèmes causés par CA et que de nouvelles solutions s’imposent.
