Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Un vrai-faux certificat Google dans la nature

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Verrou

Une autorité de certification hollandaise aurait délivré, au mois de juillet dernier, un certificat SSL au nom de Google. Seul problème : le certificat a été remis (par erreur ou malveillance) à un parfait inconnu.

Valable pour tous les domaines de Google (*.google.com), ce vrai-faux certificat permet à son possesseur de créer des copies plus vraies que nature des sites de Google, auxquelles les internautes pourront se connecter de manière sécurisée sans rencontrer la moindre alerte.

Première à réagir, la Fondation Mozilla annonce des mises à jour pour la plupart de ses produits, afin de révoquer le certificat en question. Selon la Fondation, celui-ci aurait été utilisé dans la nature. Notre confrère Threatpost signale notamment des messages sur Twitter indiquant que le gouvernement iranien aurait pu utiliser ce certificat lors d’attaques de type man-in-the-middle contre GMail, afin d’intercepter les mots de passe et les messages d’opposants au régime.

Loin de ne concerner que GMail, une telle attaque pourrait viser n’importe quel service de Google auquel l’utilisateur se connecte via SSL, y compris les offres d’entreprise (Google Docs, Calendar, etc…). Couplée à une attaque de type DNS poisoning, une telle opération serait très difficile à identifier.

En attendant que les éditeurs de navigateurs ne mettent à jour leurs listes de révocation, il est possible de supprimer manuellement le certificat racine de DigiNotar.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

4 réponses à Un vrai-faux certificat Google dans la nature

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.