un certificat SSL frauduleux pour *.google.com

Un certificat SSL frauduleux pour *.google.com a été identifié hier, cf le message officiel sur le blog de Google.

Avec un tel certificat dans la nature, les internautes peuvent être la cible d’attaques dite de MITM (Man-In-The-Middle – ou “homme du milieu”) alors qu’ils se connectent aux services de Google comme  Gmail par exemple. Un attaquant serait donc en mesure de voir le contenu des communications à l’insu de la personne pour lire ses mails.

Selon un échange sur le forum de support de Google UK, il semblerait que cette attaque soit liée avec des écoutes illégales de communications Internet depuis l’Iran : Information à prendre avec des pincettes car rien n’est sûr mais cela semble tout à fait vraisemblable. En effet, l’article de l’EFF  intitulé “Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities” confirme l’incident et remet une couche sur le danger que représente le système basé sur les autorités de certification.

Autorité de certification : DigiNotar

Ce certificat a été émis par l’autorité de certification DigiNotar (Pays-Bas). Pour le moment, on ne sait pas si leur procédures de délivrance de certificats sont en cause ou si ils ont été victimes d’une intrusion. Les détails du certificat SSL frauduleux sont disponibles ici sous Pastebin.

La réaction de Mozilla est tranchante : L’autorité de certification DigiNotar est révoquée de la liste des autorités approuvées dans Firefox, Seamonkey et ThunderBird. Tous les certificats émis par DigiNotar  sont donc invalidés (donc celui émis pour *.google.com mais aussi bien d’autres par la même occasion).

Visiblement, aucune info de visible sur le site web de DigiNotar

Faire le ménage

Il est recommandé de mettre à jour son navigateur Firefox pour bénéficier de la liste des autorités de certifications mise à jour suite à la révocation par Mozilla.

Pour les personnes ne pouvant mettre à jour leur navigateur ; il leur est possible de révoquer manuellement DigiNotar en suivant ce guide pour Firefox.

Pour Internet Explorer iront sous “Outils” puis “Options Internet” ; sélectionner l’onglet “Contenus”. Cliquer sur le bouton “Editeurs” (dans la section “certificats”) et selectionneront l’onglet “Autorités principales de confiance” : Ils pourront supprimer l’entrée “DigiNotar root CA”.

Vers un autre système ?

Le problème du système a été une nouvelle fois pointé du doigt par Moxie Marlinspike lors de la Defcon 2011 : L’une des solutions proposée s’appuie sur le système baptisé “Convergence” qui ; via une extension Firefox ; rends le contrôle à l’utilisateur. A suivre.

Jean-François Audenard (http://blogs.orange-business.com/securite/2011/08/un-certificat-ssl-frauduleux-pour-googlecom.html)

About SSL Europa "Secure your Digital World"

SSL Europa est le spécialiste de la sécurité des environnements dématérialisés. Autorité d'Enregistrement de DocuSign, le premier Tiers de Confiance français leader en Europe. SSL Europa offre des solutions serveurs (https), la signature électronique de documents, la traçabilité des échanges dématérialisés ainsi que des solutions de convergence incluant l'authentification forte autour du poste client. SSL Europa en sa qualité de société d'innovation développe des technologies complémentaires permettant de sécuriser les échanges dans l'économie numérique (Secure your digital world). SSL Europa is the security specialist for dematerialized environments. Registration Authority of OpenTrust the French Trusted Third Party leader in Europe. SSL Europa provides server solutions (https), the electronic signature of documents, traceability of electronic exchanges and convergence solutions including strong authentication around the workstation. SSL Europa in its capacity as innovative company develops added value technologies to secure trade in the digital economy (Secure your digital world).
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s