Le pirate qui a revendiqué le piratage des autorités de certification Comodo et DigiNotar semble devenu particulièrement bavard. Dans une publication sur le site Pastebin, il fait de nombreuses révélations. Parmi la plus intéressante, il clame être en mesure de publier de vraies-fausses mises à jour Windows Update.

Il indique également, pèle-mêle, avoir découvert de nombreuses vulnérabilités zero-day, avoir développé des chevaux de Troie pour Windows (en ring 0, au coeur du système), disposer d’encore 300 certificats valides afin de signer du code, et – surtout – avoir accès a quatre autres autorités de certifications qui n’auraient pas encore détecté l’intrusion.

Il a cité parmi ces dernières GlobalSign. La société a d’ailleurs mis la semaine dernière ses serveurs hors-ligne afin de rechercher des traces d’une éventuelle intrusion (elle a pour cela mandaté les consultants de Fox-IT, les mêmes qui ont menés l’enquête chez DigiNotar). N’ayant rien trouvé hormis une vulnérabilité sur le site web corporate, GlobalSign est à nouveau opérationnel.

Le pirate a également mentionné avoir été tout près de compromettre un autre CA, StartCom. Mais son président aurait été a ce moment physiquement présent à la console du générateur de clés, et le pirate aurait du faire marche arrière (le Président de StartCom a depuis confirmé les faits par email à notre confrère d’InformationWeek). Même s’il n’a pu générer de faux certificats, le pirate clame toutefois avoir eu accès aux emails et aux données clients de StartCom, sans que cela n’ait été confirmé par la société.

Le jeune pirate (il dit avoir vingt et un ans) affirme ne rien avoir a faire avec l’Iran et être seul responsable de ces attaques, contrairement à l’idée communément acceptée. Dans son message sur Pastebin il justifie son action par l’attitude du gouvernement des Pays-Bas, qui porterait selon lui sa part de responsabilité lors du massacre de Srebrenica en 1995.

Il convient toutefois d’être prudent face à de telles déclarations. Rien de tout ceci n’a été confirmé par les intéressés, à l’exception du presque-piratage du HSM de StartCom (ce qui n’est déjà pas rien : un HSM est censé être le saint des saints). L’on pourrait même imaginer, sans trop d’effort d’imagination, que le pirate n’existe pas et qu’il s’agisse d’une opération d’intox montée par des services iraniens.

En attendant d’éventuelles confirmation, le pirate promet encore d’autres révélations. Mais sans même faire de surenchère, la capacité à diffuser de vraies-fausses mises à jour Windows, s’il est vraie, serait a elle seule une inquiétante première.