La sécurité des certificats remise en cause ?

Rubriques: Technologies

L'autorité de certification hollandaise Diginotar a détecté l'émission d'un certificat wildcard pour Google (*.google.com)...ce certificat a été remis à un parfait inconnu ! Ce qui pourrait sembler ne poser problème qu'au géant américain est en fait un évènement majeur dans le monde des autorités de certification.

En fait, ce certificat n'a pas été généré par erreur mais cela fait suite à une attaque perpétrée par un pirate informatique du nom de Comodohacker. Derrière ce nom se cacherait un jeune homme de 21 ans Iranien. Afin de prouver qu'il est bien celui qu'il prétend être, ce Mr vient de poster la calculatrice Windows signée par la clef privée provenant de ce certificat !  Selon TrendMicro, l'attaque visait l'Iran (source).

Cette attaque aurait permis la génération d'au moins 500 certificats frauduleux dont un intermédiaire. Ces certificats étaient reconnus pas tous les grands du monde informatique : Microsoft, Apple, Mozilla, ... Les deux premiers ont déjà, par distribution de mise à jour, révoqués les certificats en cause. Mozilla vient lui de faire la demande à toutes les autorités de certification de vérifier la sécurité de leur société. Ces dernières ont jusqu'au 16 septembre pour répondre à cette requête. 

En juin, c'était StartSSL qui était visé par une attaque qui de nouveau avait pour but de générer des certificats frauduleux. Il d'ailleurs probable que le même attaquant soit à l'origine de cette première attaque.

Il y a une moins d'une année, des certificats signés par Verisign étaient utilisés pour infiltrer les centrales nucléaires Iraniennes via Stuxnet.

Ces derniers évènements démontrent que les fondamentaux sur lesquels nous nous appuyons, tels que la sécurité offerte par un certificat signé par une autorité de certification renommée, tremblent une fois de plus.
L'actualité a au moins cela de bon, nous rappeler que la confiance que nous portons dans ces institutions peut parfois être source de vulnérabilité.