Vols de certificats SSL : les experts tirent la sonnette d'alarme

05 septembre 2011 à 12h11
0
En fin de semaine dernière, l'autorité de certification néerlandaise DigiNotar expliquait qu'une intrusion avait permis à un hacker de lui dérober plusieurs certificats SSL (Secure socket Layer). Cette fois, certains spécialistes en sécurité critiquent ouvertement le fait que des sociétés privées puissent délivrer ces certificats.

00FA000001473574-photo-dossier-s-cu-s-curit-informatique.jpg
L'affaire de l'utilisation frauduleuse de certificats de sécurité SSL connaît de nouveaux développements. L'autorité de certification DigiNotar (propriété du groupe Vasco) a récemment admis avoir été victime d'une intrusion destinée à lui subtiliser ses certificats SSL et EVSSL. Ces derniers sont des passeports électroniques qui permettent d'établir le lien entre une page web hébergée et son propriétaire. Ce certificat authentifie donc le serveur afin de sécuriser les échanges avec les internautes qui s'y connectent.

Suite à cette confirmation de DigiNotar, on apprend également que certains de ces certificats ont visé de nombreux domaines appartenant non seulement à Google mais également à Microsoft, Facebook, Skype, la CIA, le MI6 ou le Mossad (services de renseignements d'Israël). Ainsi, pas moins de 531 certificats auraient été utilisés de manière frauduleuse.

Pour rappel, cette intrusion n'est pas la première de ce genre. En avril dernier, un cas similaire avait déjà été révélé. La société Comodo indiquait que les certificats de sécurité mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, global trustee avaient été compromis. L'éditeur avait expliqué qu'un hacker de nationalité iranienne était parvenu à mettre en place des certificats frauduleux.

A l'époque, la rédaction avait interrogé Keynectis, une société privée, spécialiste de la sécurité informatique afin d'en savoir un peu plus sur le fonctionnement du marché de la certification SSL. L'éditeur expliquait alors que l'évolution du marché avait conduit à une optimisation des coûts afin de proposer des certificats moins chers. Certains éditeurs ou autorités de certifications seraient donc faillibles...

Un point de vue également partagé par le spécialiste en sécurité Christopher Soghoian. Sur son fil Twitter, l'expert en sécurité informatique demande à ce que les autorités (notamment américaines) se saisissent de cette utilisation frauduleuse de certificats. Dans cette optique, un contrôle plus strict des activités des sociétés privées du secteur pourrait être à l'ordre du jour.

En attendant de telles réformes, Google, Microsoft et Mozilla ont déjà révoqué de nombreux certificats SSL frauduleux pour leurs navigateurs respectifs.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Renault accuse une perte nette de 141 millions d'euros en 2019
Une taxe sur chaque connexion aux réseaux sociaux, pour remplacer la redevance TV ?
L'Europe s'est équipée de parcs éoliens offshore d'une capacité record de 3,6 GW en 2019
La justice allemande demande à Tesla de mettre en pause la construction de sa Gigafactory
Des températures supérieures à 20 °C enregistrées pour la première fois en Antarctique
Volkswagen et E.ON dévoilent un projet de stations de charge rapide pour véhicules électriques
Citroën devrait dévoiler une voiture électrique particulièrement abordable le 27 février
L'iPhone 11 Pro émet deux fois plus de radiations que la limite recommandée
Le Batman interprété par Robert Pattinson se dévoile en vidéo

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top