La société DigiNotar, qui gère une autorité de certification racine (SSL), a eu des problèmes récemment.
Une première information faisait état d’une génération frauduleuse de certificat pour le domaine google.com . Ceci étant la suite dune compromission mi-juillet de machines de la société par des pirates. L’info a été diffusée le 29 août, soit 1 mois et demi après.
C’est aujourd’hui (31 août) plus de 200 certificats frauduleux qui auraient en fait été générés… et maintenant révoqué. Mais on n’est pas sûr que tous les certificats frauduleux aient bien été détectés.
Seule réponse possible aujourd’hui pour l’utilisateur : désactiver définitivement ce certificat d’autorité racine. Un mise à jour de Firefox et Chrome est sorti spécialement pour… Microsoft hésitait mais a sûrement suivi…
En toute logique, toute la sécurité de SSL reposant sur ces autorités racines, elles deviennent des cibles prioritaires. Les plus faibles et les moins sérieuses vont tomber une par une. Et encore, on ne sait peut-être pas tout, ce genre de publicité n’est pas très gratifiante pour une société. On verra sûrement aussi des scandales sur des certificats frauduleux exploités depuis plusieurs mois, gouvernement indélicat, mafia, corruption… Le modèle de sécurité du SSL prend officiellement (dans la presse) une claque.
Il faut cependant relativiser. Si les attaques se rapprochent maintenant des autorités de certification, c’est que le reste du modèle d’architecture de SSL est maintenant solide. Reste à espérer que ces autorités seront à la hauteur de l’enjeu…
Cette attaque de DigiNotar fait suite à une autre attaque récente ayant conduit à la génération frauduleuse de certificats (notamment encore pour google.com). Mais cette dernière attaque avait été mieux traité par la société visée, Comodo, qui avait révoqué les 7 certificats avant qu’ils n’aient pu être utilisés.
Ils ont découvert en interne la compromission du certificat le 19 juillet et l’ont révoqué. le certificat avait été généré le 10 juillet.
J’espère pour cette société qu’elle est un minimum diversifiée… pour elle, l’autorité de certification, c’est mort…
Liens :
– http://www.infoworld.com/d/security/hackers-may-have-stolen-more-200-ssl-certificates-171335
– http://www.schneier.com/blog/archives/2011/09/forged_google_c.html
– http://blog.nebule.org/?p=42
.
On en est aujourd’hui à 531 certificats volés chez DigiNotar (filiale du groupe Vasco).
http://www.clubic.com/antivirus-securite-informatique/actualite-444400-vols-certificats-ssl-experts-tirent-sonette-alarme.html
C’est peut-être l’industrie « bas de gamme » du certificat qui est visée, mais le modèle de sécurité ne fait pas de distinction entre les différentes autorités.
« Le gouvernement des Pays-Bas (pays dans lequel l’autorité DigiNotar se trouve) mène une investigation afin de savoir si l’autorité de certification était suffisamment protégée face à des attaques extérieures. Les premiers éléments de l’enquête ont montré que DigiNotar utilisait des mots de passe faibles pour certains de ses accès et n’avait pas mis à jour des logiciels sur ses serveurs publics. Enfin, aucune solution de sécurité ne semblait être installée… »
http://www.clubic.com/antivirus-securite-informatique/actualite-445032-affaire-diginotar-nouvel-editeur-certificats-temporairement.html
L’appât du gain immédiat aura été trop fort…
GlobalSign qui aurait aussi été (peut-être) compromise s’en sort mieux point de vue comm :
http://www.globalsign.com/company/press/090611-security-response.html