DigiNotar : plus de 530 certificats auraient été générés

Mise à jour générale pour tout le monde, ou presque 25
blocage filtrage cadenasLa semaine dernière, nous vous relations le cas d’un espionnage à large échelle détecté en Iran. Cette attaque, de type Man In The Middle (MITM), avait été permise par le vol de certificats de sécurité chez DigiNotar, une société néerlandaise. Un avertissement avait donc été envoyé à tous les éditeurs de navigateurs pour que des mesures soient prises. Toutefois, l’ampleur du vol chez DigiNotar a visiblement été sous-estimée.

L’histoire était sensiblement la même que ce qui était arrivé à Comodo l’année dernière. Plusieurs certificats de sécurité avaient été dérobés, permettant à des sites malveillants de se faire passer comme authentique. Ces fameux certificats SSL permettent en effet à un site de confirmer qu’il est bien ce qu’il prétend être. Un vol de certificat change la donne puisque le système n’est plus valable. Des actions rapides sont donc menées pour les révoquer et certains navigateurs doivent être mis à jour pour les reconnaître.

Dans le cas de DigiNotar, le danger était que les pirates avaient pu se faire passer momentanément pour Google pour rendre possible l’attaque. L’objectif d’une attaque MITM est de se placer entre deux points pour en espionner les communications, le tout sans que l'un ou l’autre s'aperçoive de l’observation. Or, si l’on pensait que seul Google avait été touché, il n’en est rien.

Dans son communiqué originel, DigiNotar expliquait avoir été averti par l’organisme néerlandais de surveillance Govcert et avait pris immédiatement les mesures nécessaires à la révocation des certificats incriminés. Cependant, au moins un certificat n’avait pas pu être révoqué.

En réalité, il apparaît que les pirates auraient obtenu plus de 180 certificats utilisés sous forme de certificats intermédiaires, apparaissant comme en provenance d’autres autorités de certification telles que Verisign et Thawte. DigiNotar possède en effet une autorité de niveau « root » qui lui permet de signer des certificats au nom d’autres autorités intermédiaires.

Au total, ce ne serait pas moins de 530 certificats qui auraient été générés, et les cibles seraient allées beaucoup plus loin que le seul Google. Ainsi, d’autres sociétés telles que Microsoft, Mozilla, Facebook, Yahoo, Skype ou encore Twitter. Rien que pour la firme de Redmond, des certificats pour Microsoft.com et WindowsUpdate.com auraient bien été générés. Or, dans le cas de ce dernier, on imagine les dégâts potentiels sans révocation.

Mais ce n’est pas tout car certains organismes d’état ont également été touchés. Le fameux service anglais de renseignements extérieurs MI6 a ainsi été concerné, de même que le Mossad, son équivalent en Israël. Autre équivalent, mais États-Unis cette fois : la CIA, elle aussi touchée par un ou plusieurs certificats. Le projet Tor, un réseau mondial décentralisé de routeurs, a également été touché. Le réseau s’est exprimé sur le sujet et a indiqué que des certificats pour des .com et .org avaient été publiés pour lui-même.

Chester Wisniewski, analyste dans la sécurité chez Sophos, indique sur son blog être circonspect sur la réelle possibilité de parvenir à une attaque réelle avec un tel nombre de certificats réels. Cela renforce cependant son manque de confiance dans le système des certificats dans sa globalité. L’expert a indiqué également que des certificats pour des .com et .org avaient été publiés.

À l’heure actuelle, la quasi-totalité des plateformes et navigateurs ont reçu une modification pour s’adapter à la situation. Qu’il s’agisse de Chrome, Internet Explorer ou Firefox, des patchs sont à installer via les systèmes correspondants de mises à jour. Pour l’instant, seul Apple n’a pas encore communiqué officiellement sur le sujet. 
Publiée le 05/09/2011 à 16:29 - Source : Multiple
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité