Vous pensiez que l’affaire du piratage de DigiNotar s’arrêtait à un vrai-faux certificat émis au nom de Google ? La vérité va bien au delà et implique désormais même une PKI gouvernementale.

Ce sont en réalité 247 certificats qui semblent avoir été générés par les pirates, pour 23 noms de domaine différents. Ceux-là avaient cependant une durée de vie très courte et expiraient le 19 août 2011. Ils ne sont donc plus utilisables désormais même s’ils n’ont pas étés officiellement révoqués. On trouve parmi eux les noms de domaines d’agences de renseignement occidentales (CIA, MI6 et Mossad). Un acte inutile qui peut être interprété comme un pied-de-nez ou la marque d’une grande naïveté : les informations confidentielles manipulées par ces agences empruntent très certainement un réseau distinct de l’internet public, où ces certificats sont totalement inutiles.

Mais un autre certificat, intermédiaire, a été émis une semaine avant ceux-ci. Un certificat intermédiaire est utilisé pour signer d’autres certificats en leur conférant la confiance envers son organisme émetteur. Celui-ci est encore valable, et c’est notamment lui qui a servi à générer le fameux vrai-faux certificat pour *.google.com.

Mais ce sésame intermédiaire pouvait être utilisé pour générer bien d’autres certificats que celui de Google. Ne disposant d’aucune archive le concernant, DigiNotar ne peut dire combien d’autres vrais-faux certificats similaires à celui de Google circulent actuellement, et il lui est donc bien entendu impossible de les révoquer.

D’après un ingénieur de la Fondation Mozilla, il y en aurait au moins quatre, mais probablement beaucoup plus. La méthode utilisée pour tenter de les détecter est en effet loin d’être idéale : elle consiste à rechercher des numéros de série inconnus dans les requêtes de révocation émises par certains navigateurs lorsqu’ils rencontrent un certificat. Autant dire qu’il s’agit au mieux d’une pêche à grandes mailles…