« DigiNotar hacking » : un faux certificat d’authentification émis pour le domaine Google

Point commun entre DigiNotar et Comodo : VeriSign

Si l’on remonte la chaîne des responsabilités éventuelles, on constate que DigiNotar a été acquise par Vasco Data Security en janvier.

Or, l’autorité racine de VASCO est ni plus ni moins que VeriSign.

Le même fournisseur de services Internet qui avait déjà délégué l’édition de certificats numériques à Comodo.

Et c’est donc toute la chaîne de confiance de délégation des certificats numériques qui est mise à mal.

VeriSign avait déjà été mis à mal indirectement avec la collaboration ouverte avec le spécialiste de la sécurité IT RSA.

En effet, on se souvient que le système d’authentification forte SecurID de la firme de Bedford (Massachusetts) avait perdu de son intégrité suite à un mail « piégé ».

Ce qui avait permis à des hackers d’en connaître certains méandres censés restés secrets.

Et en filigrane, c’est toute la surcouche SSL (Secure Sockets Layer, protocole de sécurisation des échanges sur Internet) qui est pointée du doigt.

Celle-ci s’intercale entre la couche transport et la couche applicative du modèle OSI lui-même vieux de 30 ans.