{"id":57,"date":"2011-09-04T13:36:14","date_gmt":"2011-09-04T11:36:14","guid":{"rendered":"http:\/\/blog.nebule.org\/?p=57"},"modified":"2016-03-29T19:05:27","modified_gmt":"2016-03-29T17:05:27","slug":"200-certificats-ssl-voles-par-des-pirates","status":"publish","type":"post","link":"http:\/\/blog.nebule.org\/?p=57","title":{"rendered":"200 certificats SSL vol\u00e9s par des pirates"},"content":{"rendered":"

La soci\u00e9t\u00e9 DigiNotar<\/em>, qui g\u00e8re une autorit\u00e9 de certification racine (SSL), a eu des probl\u00e8mes r\u00e9cemment.<\/p>\n

Une premi\u00e8re information faisait \u00e9tat d’une g\u00e9n\u00e9ration frauduleuse de certificat pour le domaine google.com<\/em> . Ceci \u00e9tant la suite dune compromission mi-juillet de machines de la soci\u00e9t\u00e9 par des pirates. L’info a \u00e9t\u00e9 diffus\u00e9e le 29 ao\u00fct, soit 1 mois et demi apr\u00e8s.<\/p>\n

C’est aujourd’hui (31 ao\u00fct) plus de 200 certificats frauduleux qui auraient en fait \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9s… et maintenant r\u00e9voqu\u00e9. Mais on n’est pas s\u00fcr que tous les certificats frauduleux aient bien \u00e9t\u00e9 d\u00e9tect\u00e9s.<\/p>\n

<\/p>\n

Seule r\u00e9ponse possible aujourd’hui pour l’utilisateur : d\u00e9sactiver d\u00e9finitivement ce certificat d’autorit\u00e9 racine. Un mise \u00e0 jour de Firefox et Chrome est sorti sp\u00e9cialement pour… Microsoft h\u00e9sitait mais a s\u00fcrement suivi…<\/p>\n

En toute logique, toute la s\u00e9curit\u00e9 de SSL reposant sur ces autorit\u00e9s racines, elles deviennent des cibles prioritaires. Les plus faibles et les moins s\u00e9rieuses vont tomber une par une. Et encore, on ne sait peut-\u00eatre pas tout, ce genre de publicit\u00e9 n’est pas tr\u00e8s gratifiante pour une soci\u00e9t\u00e9. On verra s\u00fcrement aussi des scandales sur des certificats frauduleux exploit\u00e9s depuis plusieurs mois, gouvernement ind\u00e9licat, mafia, corruption… Le mod\u00e8le de s\u00e9curit\u00e9 du SSL prend officiellement (dans la presse) une claque.<\/p>\n

Il faut cependant relativiser. Si les attaques se rapprochent maintenant des autorit\u00e9s de certification, c’est que le reste du mod\u00e8le d’architecture de SSL est maintenant solide. Reste \u00e0 esp\u00e9rer que ces autorit\u00e9s seront \u00e0 la hauteur de l’enjeu…<\/p>\n

Cette attaque de DigiNotar <\/em>fait suite \u00e0 une autre attaque r\u00e9cente ayant conduit \u00e0 la g\u00e9n\u00e9ration frauduleuse de certificats (notamment encore pour google.com). Mais cette derni\u00e8re attaque avait \u00e9t\u00e9 mieux trait\u00e9 par la soci\u00e9t\u00e9 vis\u00e9e, Comodo<\/em>, qui avait r\u00e9voqu\u00e9 les 7 certificats avant qu’ils n’aient pu \u00eatre utilis\u00e9s.<\/p>\n

Ils ont d\u00e9couvert en interne la compromission du certificat le 19 juillet et l’ont r\u00e9voqu\u00e9. le certificat avait \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9 le 10 juillet.<\/p>\n

J’esp\u00e8re pour cette soci\u00e9t\u00e9 qu’elle est un minimum diversifi\u00e9e… pour elle, l’autorit\u00e9 de certification, c’est mort…<\/p>\n

Liens :
\n– http:\/\/www.infoworld.com\/d\/security\/hackers-may-have-stolen-more-200-ssl-certificates-171335<\/a>
\n– http:\/\/www.schneier.com\/blog\/archives\/2011\/09\/forged_google_c.html<\/a>
\n– http:\/\/blog.nebule.org\/?p=42<\/a>
\n.<\/p>\n","protected":false},"excerpt":{"rendered":"

La soci\u00e9t\u00e9 DigiNotar, qui g\u00e8re une autorit\u00e9 de certification racine (SSL), a eu des probl\u00e8mes r\u00e9cemment. Une premi\u00e8re information faisait \u00e9tat d’une g\u00e9n\u00e9ration frauduleuse de certificat pour le domaine google.com . Ceci \u00e9tant la suite dune compromission mi-juillet de machines de la soci\u00e9t\u00e9 par des pirates. L’info a \u00e9t\u00e9 diffus\u00e9e le 29 ao\u00fct, soit 1 … Continuer la lecture de 200 certificats SSL vol\u00e9s par des pirates<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[136,164,308],"_links":{"self":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/57"}],"collection":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=57"}],"version-history":[{"count":1,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/57\/revisions"}],"predecessor-version":[{"id":2380,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/57\/revisions\/2380"}],"wp:attachment":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=57"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=57"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=57"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}