Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

DigiNotar : une affaire plus complexe qu’il n’y parait

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur DigiNotar : une affaire plus complexe qu’il n’y parait

Clés

Vous pensiez que l’affaire du piratage de DigiNotar s’arrêtait à un vrai-faux certificat émis au nom de Google ? La vérité va bien au delà et implique désormais même une PKI gouvernementale.

Ce sont en réalité 247 certificats qui semblent avoir été générés par les pirates, pour 23 noms de domaine différents. Ceux-là avaient cependant une durée de vie très courte et expiraient le 19 août 2011. Ils ne sont donc plus utilisables désormais même s’ils n’ont pas étés officiellement révoqués. On trouve parmi eux les noms de domaines d’agences de renseignement occidentales (CIA, MI6 et Mossad). Un acte inutile qui peut être interprété comme un pied-de-nez ou la marque d’une grande naïveté : les informations confidentielles manipulées par ces agences empruntent très certainement un réseau distinct de l’internet public, où ces certificats sont totalement inutiles.

Mais un autre certificat, intermédiaire, a été émis une semaine avant ceux-ci. Un certificat intermédiaire est utilisé pour signer d’autres certificats en leur conférant la confiance envers son organisme émetteur. Celui-ci est encore valable, et c’est notamment lui qui a servi à générer le fameux vrai-faux certificat pour *.google.com.

Mais ce sésame intermédiaire pouvait être utilisé pour générer bien d’autres certificats que celui de Google. Ne disposant d’aucune archive le concernant, DigiNotar ne peut dire combien d’autres vrais-faux certificats similaires à celui de Google circulent actuellement, et il lui est donc bien entendu impossible de les révoquer.

D’après un ingénieur de la Fondation Mozilla, il y en aurait au moins quatre, mais probablement beaucoup plus. La méthode utilisée pour tenter de les détecter est en effet loin d’être idéale : elle consiste à rechercher des numéros de série inconnus dans les requêtes de révocation émises par certains navigateurs lorsqu’ils rencontrent un certificat. Autant dire qu’il s’agit au mieux d’une pêche à grandes mailles…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.