DigiNotar aurait-il minimisé les conséquences de l’attaque dont elle a été la cible en juillet ? Utilisateur des certificats de l’autorité, l’Etat néerlandais a déclaré qu’il ne pouvait plus garantir la sécurité de ses sites Internet. Les principaux navigateurs vont révoquer tous les certificats de DigiNotar.
Le bilan de l’intrusion informatique dans les systèmes de l’autorité de certification néerlandaise DigiNotar est manifestement plus négatif que les premières informations ne le laissaient présager.
Si l’alerte a d’abord porté sur un faux certificat SSL pour Google.com, Vasco, maison mère de DigiNotar, reconnaissait que d’autres certificats concernant d’autres domaines avaient également été générés frauduleusement.
DigiNotar incapable d'évaluer l'ampleur du piratage
Vasco ne chiffrait cependant pas l’ampleur du piratage de sa filiale. Selon un développeur de Mozilla, Gervase Markham, impliqué dans le développement de contre-mesures dans Firefox, ce sont désormais 531 certificats frauduleux qui ont été identifiés (bilan non définitif...).
Pire, plusieurs administrations sensibles, dont différents services secrets étrangers, sont directement concernées. Le ou les pirates auraient ainsi émis des certificats pour des domaines appartenant à la CIA, au MI6 ou encore au Mossad.
L’attaque informatique est prise très au sérieux par les autorités hollandaises. L’authentification sur leurs sites Internet dépend en effet de certificats de DigiNotar. Le gouvernement néerlandais a déclaré ne pouvoir garantir la sécurité de ses propres sites Internet.
Il a donc demandé aux citoyens hollandais de ne pas se connecter sur les sites de l’administration jusqu’à ce que de nouveaux certificats soient émis, cette fois par une autre autorité de certification (les contrats avec DigiNotar sont rompus).
Mises à jour pour Firefox, Chrome et Windows, sauf XP
Quant à l’origine iranienne de l’attaque, elle n’est pas attestée répond, avec des précautions diplomatiques, le ministre de l’intérieur hollandais, Piet Hein Donner. Cette source possible avait été évoquée par Google après la détection d’attaques dirigées contre des utilisateurs iraniens de Gmail grâce à un faux certificat Google.
Une thèse qui pourrait être étayée, mais non confirmée, par la création de certificats frauduleux pour des sites d’agences de renseignement. Ces dernières sont cependant loin d’être les seules concernées.
Parmi les certificats SSL dérobés, plusieurs portent sur des sites et services en ligne très populaires, dont Microsoft, et en particulier le domaine pour la mise à jour automatique (Windows Update), Yahoo, Skype, Facebook et Twitter.
Pour prévenir les attaques basées sur l’exploitation de ces certificats, plusieurs navigateurs (dont Firefox et Chrome) vont révoquer l’ensemble des certificats émis par DigiNotar en black-listant l'autorité. La semaine dernière, ce sont déjà plus de 200 certificats de cette même autorité de certification qui ont été bloqués.
Sur son blog sécurité, Microsoft indique qu’une mise à jour de Windows (Vista et versions suivantes) bloquant les certificats frauduleux pour microsoft.com et windowsupdate.com a été diffusée le 29 août. L’éditeur travaille à un correctif pour Windows XP et Server 2003.
Aucun commentaire:
Enregistrer un commentaire