S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

DigiNotar : plus de 530 certificats auraient été générés

Mise à jour générale pour tout le monde, ou presque

blocage filtrage cadenasLa semaine dernière, nous vous relations le cas d’un espionnage à large échelle détecté en Iran. Cette attaque, de type Man In The Middle (MITM), avait été permise par le vol de certificats de sécurité chez DigiNotar, une société néerlandaise. Un avertissement avait donc été envoyé à tous les éditeurs de navigateurs pour que des mesures soient prises. Toutefois, l’ampleur du vol chez DigiNotar a visiblement été sous-estimée.

L’histoire était sensiblement la même que ce qui était arrivé à Comodo l’année dernière. Plusieurs certificats de sécurité avaient été dérobés, permettant à des sites malveillants de se faire passer comme authentique. Ces fameux certificats SSL permettent en effet à un site de confirmer qu’il est bien ce qu’il prétend être. Un vol de certificat change la donne puisque le système n’est plus valable. Des actions rapides sont donc menées pour les révoquer et certains navigateurs doivent être mis à jour pour les reconnaître.

Dans le cas de DigiNotar, le danger était que les pirates avaient pu se faire passer momentanément pour Google pour rendre possible l’attaque. L’objectif d’une attaque MITM est de se placer entre deux points pour en espionner les communications, le tout sans que l'un ou l’autre s'aperçoive de l’observation. Or, si l’on pensait que seul Google avait été touché, il n’en est rien.

Dans son communiqué originel, DigiNotar expliquait avoir été averti par l’organisme néerlandais de surveillance Govcert et avait pris immédiatement les mesures nécessaires à la révocation des certificats incriminés. Cependant, au moins un certificat n’avait pas pu être révoqué.

En réalité, il apparaît que les pirates auraient obtenu plus de 180 certificats utilisés sous forme de certificats intermédiaires, apparaissant comme en provenance d’autres autorités de certification telles que Verisign et Thawte. DigiNotar possède en effet une autorité de niveau « root » qui lui permet de signer des certificats au nom d’autres autorités intermédiaires.

Au total, ce ne serait pas moins de 530 certificats qui auraient été générés, et les cibles seraient allées beaucoup plus loin que le seul Google. Ainsi, d’autres sociétés telles que Microsoft, Mozilla, Facebook, Yahoo, Skype ou encore Twitter. Rien que pour la firme de Redmond, des certificats pour Microsoft.com et WindowsUpdate.com auraient bien été générés. Or, dans le cas de ce dernier, on imagine les dégâts potentiels sans révocation.

Mais ce n’est pas tout car certains organismes d’état ont également été touchés. Le fameux service anglais de renseignements extérieurs MI6 a ainsi été concerné, de même que le Mossad, son équivalent en Israël. Autre équivalent, mais États-Unis cette fois : la CIA, elle aussi touchée par un ou plusieurs certificats. Le projet Tor, un réseau mondial décentralisé de routeurs, a également été touché. Le réseau s’est exprimé sur le sujet et a indiqué que des certificats pour des .com et .org avaient été publiés pour lui-même.

Chester Wisniewski, analyste dans la sécurité chez Sophos, indique sur son blog être circonspect sur la réelle possibilité de parvenir à une attaque réelle avec un tel nombre de certificats réels. Cela renforce cependant son manque de confiance dans le système des certificats dans sa globalité. L’expert a indiqué également que des certificats pour des .com et .org avaient été publiés.

À l’heure actuelle, la quasi-totalité des plateformes et navigateurs ont reçu une modification pour s’adapter à la situation. Qu’il s’agisse de Chrome, Internet Explorer ou Firefox, des patchs sont à installer via les systèmes correspondants de mises à jour. Pour l’instant, seul Apple n’a pas encore communiqué officiellement sur le sujet. 
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 05/09/2011 à 16:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 25 commentaires

Avatar de geekounet85 INpactien
geekounet85 Le lundi 5 septembre 2011 à 16:45:25
Inscrit le mercredi 9 juin 04 - 8092 commentaires
j'ai peur!
Avatar de Zed-K INpactien
Zed-K Le lundi 5 septembre 2011 à 16:46:43
Inscrit le vendredi 20 avril 07 - 7689 commentaires
la réelle possibilité de parvenir à une attaque réelle avec un tel nombre de certificats réels.

O RLY?
Avatar de fred131 INpactien
fred131 Le lundi 5 septembre 2011 à 17:04:19
Inscrit le samedi 7 mars 09 - 711 commentaires
A force de vouloir jouer aux cons en espionnant l'autre ils vont finir par nous faire le coup des fusées à cuba ou de l'avion U2 en URSS.

Si par malheur une information stratégique devait être diffusée à ce moment là et qu'elle est compromise, on se rapproche d'un casus belli qui pourrait se limiter à une cyberguerre mais aussi dégénérer en une guerre tout court.

A force de jouer avec les allumettes...

fred131
Avatar de Ar-no INpactien
Ar-no Le lundi 5 septembre 2011 à 17:20:07
Inscrit le lundi 12 mai 08 - 840 commentaires
C'est tellement mieux les clés auto signées
Avatar de clash INpactien
clash Le lundi 5 septembre 2011 à 17:21:54
Inscrit le mercredi 11 mars 09 - 360 commentaires
Sous OS X, en attendant qu'Apple se réveille, il faut supprimer la confiance à la main :
Applications => Utilitaires => Trousseau d'accés
Dans le trousseau "Racines du Systèmes", choisir "Certificats".
Dans la liste des certificats racines, il faut cliquer sur celui de DigiNotar ("DigiNotar root CA") et dans la partie "se fier" sélectionner "Ne jamais approuver".
Et ouf ! C'est réglé !

Vous pouvez même en profiter pour jeter un œil à la montagne de certificats de CA et déterminer vous-même ceux auxquels vous faites confiance. Il y en a quand même un peu trop à mon goût. Mais ça, ce n'est pas propre à OSX, c'est un problème général... M'est avis qu'on est pas prêts de voir la fin de ce genre de "mésaventures" avec des CA qui ne font pas leur boulot...

Edité par clash le lundi 5 septembre 2011 à 17:22

Il y a 25 commentaires

;