Affaire DigiNotar : un nouvel éditeur de certificats s'arrête temporairement

Olivier Robillart
Publié le 07 septembre 2011 à 11h42
Dans sa revendication, le hacker qui a expliqué avoir généré des SSL frauduleux (Secure Socket layer) a indiqué qu'il s'était également introduit chez d'autres autorités de certification. Selon ses dires, il serait en mesure de reproduire des certificats édités par GlobalSign. Cette dernière annonce donc le lancement d'une enquête.

00FA000001967508-photo-http-logo.jpg
Le hacker baptisé « Comodohacker » a récemment revendiqué ses intrusions chez deux autorités chargées de la certification de ces SSL (GlobalTrust et DigiNotar). Dans son message, le pirate précisait qu'il disposait également des comptes d'accès de 4 autres autorités de certification « majeures », il citait alors StartCom et GlobalSign. Selon ses dires, il serait donc capable de créer à nouveau des certificats SSL frauduleux capables d'induire en erreur les internautes.

GlobalSign a répondu à cette menace en indiquant qu'il était en train de mener une enquête sur le sujet. L'autorité précise : « nous prenons cette réclamation très au sérieux et nous sommes en cours d'enquête. En tant qu'autorité de certification responsable, nous avons donc décidé de cesser temporairement l'émission de tous nos certificats jusqu'à ce que l'enquête soit complète. Nous posterons des mises à jour le plus fréquemment possible. En attendant, nous tenons à nous excuser pour la gêne occasionnée ».

Pour sa part, le gouvernement des Pays-Bas (pays dans lequel l'autorité DigiNotar se trouve) mène également une investigation afin de savoir si l'autorité de certification était suffisamment protégée face à des attaques extérieures. Les premiers éléments de l'enquête ont montré que DigiNotar utilisait des mots de passe faibles pour certains de ses accès et n'avait pas mis à jour des logiciels sur ses serveurs publics. Enfin, aucune solution de sécurité ne semblait être installée...

Toujours est-il que suite à cette nouvelle émission de certificats frauduleux, les éditeurs ont été obligés d'éditer des mises à jour de leurs navigateurs. Par exemple, Google a publié une rustine pour Chrome. De son côté, Mozilla a également mis en ligne la nouvelle version 6.0.2 de son navigateur Firefox. Enfin, Microsoft a également réagi en publiant un correctif pour Windows XP, Vista et 7 via le support de téléchargement automatique des mises à jour.
Olivier Robillart
Par Olivier Robillart

Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic. Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction. J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.