Une autorité de certification hollandaise aurait délivré, au mois de juillet dernier, un certificat SSL au nom de Google. Seul problème : le certificat a été remis (par erreur ou malveillance) à un parfait inconnu.

Valable pour tous les domaines de Google (*.google.com), ce vrai-faux certificat permet à son possesseur de créer des copies plus vraies que nature des sites de Google, auxquelles les internautes pourront se connecter de manière sécurisée sans rencontrer la moindre alerte.

Première à réagir, la Fondation Mozilla annonce des mises à jour pour la plupart de ses produits, afin de révoquer le certificat en question. Selon la Fondation, celui-ci aurait été utilisé dans la nature. Notre confrère Threatpost signale notamment des messages sur Twitter indiquant que le gouvernement iranien aurait pu utiliser ce certificat lors d’attaques de type man-in-the-middle contre GMail, afin d’intercepter les mots de passe et les messages d’opposants au régime.

Loin de ne concerner que GMail, une telle attaque pourrait viser n’importe quel service de Google auquel l’utilisateur se connecte via SSL, y compris les offres d’entreprise (Google Docs, Calendar, etc…). Couplée à une attaque de type DNS poisoning, une telle opération serait très difficile à identifier.

En attendant que les éditeurs de navigateurs ne mettent à jour leurs listes de révocation, il est possible de supprimer manuellement le certificat racine de DigiNotar.