En fin de semaine dernière, l'autorité de certification néerlandaise DigiNotar expliquait qu'une intrusion avait permis à un hacker de lui dérober plusieurs certificats SSL (Secure socket Layer). Cette fois, certains spécialistes en sécurité critiquent ouvertement le fait que des sociétés privées puissent délivrer ces certificats.
L'affaire de l'utilisation frauduleuse de certificats de sécurité SSL connaît de nouveaux développements. L'autorité de certification DigiNotar (propriété du groupe Vasco) a récemment admis avoir été victime d'une intrusion destinée à lui subtiliser ses certificats SSL et EVSSL. Ces derniers sont des passeports électroniques qui permettent d'établir le lien entre une page web hébergée et son propriétaire. Ce certificat authentifie donc le serveur afin de sécuriser les échanges avec les internautes qui s'y connectent.
Suite à cette confirmation de DigiNotar, on apprend également que certains de ces certificats ont visé de nombreux domaines appartenant non seulement à Google mais également à Microsoft, Facebook, Skype, la CIA, le MI6 ou le Mossad (services de renseignements d'Israël). Ainsi, pas moins de 531 certificats auraient été utilisés de manière frauduleuse.
Pour rappel, cette intrusion n'est pas la première de ce genre. En avril dernier, un cas similaire avait déjà été révélé. La société Comodo indiquait que les certificats de sécurité mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, global trustee avaient été compromis. L'éditeur avait expliqué qu'un hacker de nationalité iranienne était parvenu à mettre en place des certificats frauduleux.
A l'époque, la rédaction avait interrogé Keynectis, une société privée, spécialiste de la sécurité informatique afin d'en savoir un peu plus sur le fonctionnement du marché de la certification SSL. L'éditeur expliquait alors que l'évolution du marché avait conduit à une optimisation des coûts afin de proposer des certificats moins chers. Certains éditeurs ou autorités de certifications seraient donc faillibles...
Un point de vue également partagé par le spécialiste en sécurité Christopher Soghoian. Sur son fil Twitter, l'expert en sécurité informatique demande à ce que les autorités (notamment américaines) se saisissent de cette utilisation frauduleuse de certificats. Dans cette optique, un contrôle plus strict des activités des sociétés privées du secteur pourrait être à l'ordre du jour.
En attendant de telles réformes, Google, Microsoft et Mozilla ont déjà révoqué de nombreux certificats SSL frauduleux pour leurs navigateurs respectifs.
Olivier Robillart
Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de rempli...
Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic.
Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction.
J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
