Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

DigiNotar : une affaire plus complexe qu’il n’y parait

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur DigiNotar : une affaire plus complexe qu’il n’y parait

Clés

Dans le doute, la majorité des navigateurs ont désormais pris des mesures pour désactiver tous les certificats de DigiNotar, sans distinction : nouvelles versions pour Chrome et Firefox notamment et une mise à jour Windows pour Internet Explorer (uniquement pour les utilisateurs de Vista et Seven pour l’instant). Une telle mesure est exceptionnelle et radicale, à la hauteur de cette affaire. Chez Mozilla, par exemple, les développeurs ont ajouté du code chargé de détecter le nom de DigiNotar et d’interdire purement et simplement la visite de sites qui en ferait usage, sans offrir à l’utilisateur la possibilité de contourner le blocage (uniquement pour les certificats émis après le 1er juillet 2011).

L’analyse de cette attaque est compliquée par de très nombreuses bourdes de la part de DigiNotar : les journaux d’activité sont parcellaires, les certificats vendus par la société ne contenaient souvent pas d’informations de révocation, ses ingénieurs n’ont pas découvert la fuite du certificat intermédiaire malgré six semaines d’enquête et son site web aurait été piraté en 2009 sans qu’elle ne s’en rende compte… Pire : d’après le document publié par un ingénieur en charge de la coordination entre DigiNotar et la Fondation Mozilla, des certificats frauduleux continuaient à être émis un jour après la découverte du piratage par les équipes de DigiNotar. Autant de bourdes ont d’ailleurs valu à Vasco, la maison-mère de DigiNotar, d’être récemment malmenée en bourse.

Mais là où l’affaire prend un tour plus institutionnel, c’est lorsque l’on apprend que des certificats racines émis par DigiNotar chapeautent la PKI opérée par le gouvernement hollandais, utilisée aussi bien en interne qu’en externe et notamment pour authentifier les citoyens en ligne (projet DigiID, basé sur le numéro de sécurité sociale).

Le blocage des certificats de DigiNotar menaçait donc d’interdire l’accès à la PKI du gouvernement Hollandais. Ce dernier avait pourtant initialement indiqué, via son propre CERT, que les deux certificats racines de sa PKI étaient distincts de l’infrastructure mise en cause chez DigiNotar, et avait alors demandé à bénéficier d’une exception… qui lui a tout d’abord été accordée. Mais il semble qu’un audit mené par une entreprise tierce ait déterminé que le risque de fraude existait malgré tout : la PKI du gouvernement a donc du se trouver un autre fournisseur dans l’urgence. Il semblerait qu’il s’agisse maintenant de QuoVadis.

Les auteurs de cette opération ne sont pas connus. Tout porte à croire qu’il s’agit de pirates iraniens. Ont-ils oeuvré pour le compte du gouvernement ou par patriotisme ? Impossible de le déterminer. Il est même possible qu’il y ait eu plusieurs groupes de pirates, indépendants les uns des autres, tant l’attaque qui a permis la création du certificat intermédiaire – et son exploitation hors du contrôle de DigiNotar – est plus subtile que la génération massive de 247 certificats directement sur la plate-forme de l’opérateur.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.