DigiNotar hacking : l’affaire des faux certificats prend de l’ampleur

AuthentificationMarketingSécurité

Au-delà de Google, le hacking affectant DigiNotar du nom d’un spécialiste de l’authentification IT a touché des services de renseignements comme la CIA. C’est très inquiétant pour la sécurisation d’internet via la surcouche SSL.

La révocation de nouveaux certificats SSL émis par DigiNotar a fait l’effet d’une bombe.

La semaine dernière, on apprenait qu’un faux certificat avait été émis pour les noms de domaine en « *.google.com »
(révoqué depuis par Google tandis que la Fondation Mozilla révoquait tous les certificats émis par DigiNotar pour préserver Firefox).

Il a notamment permis de lancer des attaques contre des utilisateurs de Gmail en Iran.

Mais l’affaire de ce fournisseur néerlandais de services Internet, qui a subi un hacking, a pris depuis des proportions plus grandes.

Les pirates se sont introduits dans le système d’information du spécialiste de l’authentification et on évoque désormais un volume de 500 faux certificats émis.

Aux nombres desquels on trouve des certificats pour des domaines de la CIA, du Mossad (les services secrets israéliens) et le SIS (homologues britanniques).

La menace est si sérieuse que le gouvernement néerlandais est monté au créneau en convoquant la presse samedi dernier.

Il a demandé que les certificats PKIoverheid propres à son usage (avec DigiNotar comme autorité racine) devaient être révoqués.

Une liste de 531 certificats frauduleux issus de DigiNotar a également été publiée (disponible sur ce fichier *.CSV)

Parmi les noms de domaine visés figurent des sites Internet d’agences de renseignements (www.sis.gov.uk, www.mossad.gov.il et www.cia.gov).

Autre point non négligeable : les hackers ont également essayé d’obtenir des faux certificats SSL pour des noms de domaine génériques tels que : *.*.com et *.*org.

C’est la porte ouverte à des milliers de domaines sur le Net.

Néanmoins, les intrus n’ont pas réussi car le système ne permet pas la création de certificats aussi vastes.

DigiNotar est mis en cause pour n’avoir pas rapidement prévenu les sociétés concernées par les faux certificats.

« L’intégrité du système SSL ne peut pas être gardée secrète », commente Jonathan Nightingale, le directeur de la Fondation Mozilla pour le développement de Firefox.

« De tels incidents montrent qu’il faut une communication active, immédiate et compréhensive entre les autorités d’authentification et les éditeurs de logiciels pour assurer la sécurité de nos utilisateurs en ligne. »

La hacking de DigiNotar n’est pas aussi sophistiqué que le ver Stuxnet mais les conséquences seraient plus graves.

La création de certificats SSL pour des domaines d’organismes officiels et sensibles – tels que la CIA – illustre la menace latente de cyber-guerre.

On évoque une responsabilité du régime iranien dans cette attaque d’envergure. Mais il est difficile d’apporter des preuves.

Crédit photo : © rgbspace – Fotolia.com

Lire aussi :