Le 15 mars, un pirate Iranien (si on s’en tient à son adresse IP) a réussi à compromettre un partenaire d’un important éditeur de certificats SSL, Comodo Group.
Il ne semble pas lié au régime politique, il semble avoir agit seul. Ça fait déjà beaucoup d’incertitudes…
Si c’est le cas, il a réussi, tout seul et dans un pays qui ne favorise pas la connexion internet, à inquiéter la sécurité de certains sites internet majeurs. Et il frappe sur un élément important qui assure, justement, la sécurité des connexions des utilisateurs.
SSL, ou plutôt TLS de son vrai nom, se base sur une cryptographie forte pour encoder les connexions et pour prouver l’identité du serveur. Cette preuve du serveur et un certificat électronique qui est lui-même signé par une autorité reconnue sur internet. Le fonctionnement est donc de type hiérarchique. Et donc il faut avoir pleinement confiance dans cette autorité pour qu’elle ne certifie pas un certificat (et donc un site) frauduleux.
La portée de ces certificats frauduleux reste quand même restreinte.
On ne peut les exploiter que sur une attaque de type man-in-the-middle. Typiquement sur un réseau wifi ouvert ou sur une liaison non sûr.
Ils ont été révoqués par l’éditeur… mais votre navigateur vérifie-t-il les listes de révocations?
Les domaines générés frauduleusement :
– mail.google.com
– login.yahoo.com
– login.skype.com
– addons.mozilla.org
– login.live.com
Nul besoin de s’attaquer au chiffrement, le maillon faible est souvent ailleurs. L’attaque a été rapidement détectée, mais il était seul.
Comment ça va se passer si les attaquants sont plus nombreux? mieux organisés? mieux financés?
Et les agents des éditeurs sont-ils incorruptibles? infaillibles? bien surveillés?
Sources : www.wired.com www.schneier.com www.comodo.com .
Les commentaires des journalistes sur le DNS…
Non, ce n’est pas obligatoire pour réaliser une attaque.
Et non, il n’y a pas que les états qui peuvent toucher au DNS, n’importe qui peut facilement en créer un faux pour les besoins d’une attaque.