DigiNotar : une affaire plus complexe qu’il n’y parait Jerome Saiz le 5 septembre 2011 à 15h42, dans la rubrique Menaces Commentaires fermés sur DigiNotar : une affaire plus complexe qu’il n’y parait certificatsdiginotargooglepkiQuoVadis Dans le doute, la majorité des navigateurs ont désormais pris des mesures pour désactiver tous les certificats de DigiNotar, sans distinction : nouvelles versions pour Chrome et Firefox notamment et une mise à jour Windows pour Internet Explorer (uniquement pour les utilisateurs de Vista et Seven pour l’instant). Une telle mesure est exceptionnelle et radicale, à la hauteur de cette affaire. Chez Mozilla, par exemple, les développeurs ont ajouté du code chargé de détecter le nom de DigiNotar et d’interdire purement et simplement la visite de sites qui en ferait usage, sans offrir à l’utilisateur la possibilité de contourner le blocage (uniquement pour les certificats émis après le 1er juillet 2011). L’analyse de cette attaque est compliquée par de très nombreuses bourdes de la part de DigiNotar : les journaux d’activité sont parcellaires, les certificats vendus par la société ne contenaient souvent pas d’informations de révocation, ses ingénieurs n’ont pas découvert la fuite du certificat intermédiaire malgré six semaines d’enquête et son site web aurait été piraté en 2009 sans qu’elle ne s’en rende compte… Pire : d’après le document publié par un ingénieur en charge de la coordination entre DigiNotar et la Fondation Mozilla, des certificats frauduleux continuaient à être émis un jour après la découverte du piratage par les équipes de DigiNotar. Autant de bourdes ont d’ailleurs valu à Vasco, la maison-mère de DigiNotar, d’être récemment malmenée en bourse. Mais là où l’affaire prend un tour plus institutionnel, c’est lorsque l’on apprend que des certificats racines émis par DigiNotar chapeautent la PKI opérée par le gouvernement hollandais, utilisée aussi bien en interne qu’en externe et notamment pour authentifier les citoyens en ligne (projet DigiID, basé sur le numéro de sécurité sociale). Le blocage des certificats de DigiNotar menaçait donc d’interdire l’accès à la PKI du gouvernement Hollandais. Ce dernier avait pourtant initialement indiqué, via son propre CERT, que les deux certificats racines de sa PKI étaient distincts de l’infrastructure mise en cause chez DigiNotar, et avait alors demandé à bénéficier d’une exception… qui lui a tout d’abord été accordée. Mais il semble qu’un audit mené par une entreprise tierce ait déterminé que le risque de fraude existait malgré tout : la PKI du gouvernement a donc du se trouver un autre fournisseur dans l’urgence. Il semblerait qu’il s’agisse maintenant de QuoVadis. Les auteurs de cette opération ne sont pas connus. Tout porte à croire qu’il s’agit de pirates iraniens. Ont-ils oeuvré pour le compte du gouvernement ou par patriotisme ? Impossible de le déterminer. Il est même possible qu’il y ait eu plusieurs groupes de pirates, indépendants les uns des autres, tant l’attaque qui a permis la création du certificat intermédiaire – et son exploitation hors du contrôle de DigiNotar – est plus subtile que la génération massive de 247 certificats directement sur la plate-forme de l’opérateur. → Lire la suite de cet article: Page 1 Page 2 Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!