Mise à jour du 21 septembre 2011 par Idelways
De sa propre initiative, le groupe américain VASCO Data Security International vient de placer en banqueroute sa subsidiaire Hollandaise DigiNotar, l'autorité de certification accusée de manquement grave à la sécurité après la déroute ComodoHacker.
Le dépôt de cette procédure a eu lieu le 19 septembre auprès de la cour du district d'Haarlem au pays bas. La banqueroute a été prononcée le lendemain et un syndic de faillite prendra en main la gestion de l'entreprise et sa liquidation, sous le contrôle du juge chargé de l'affaire.
Pour mémoire, des hackers se sont infiltrés dans les systèmes de sécurité de DigiNotar, et ont réussi à falsifier les certificats de sécurité destinés à Google et à d'autres cibles majeures (pour plus de détails, lire ci-avant)
Mais c'est sa gestion de cette crise qui a fait de DigiNotar un paria de la sécurité auprès des éditeurs de navigateurs et systèmes d'exploitation. On lui reproche dans les faits deux torts : le manquement scandaleux à la sécurité pour un système de cette criticité, et l'attente incompréhensible avant de mettre au grand jour la débâcle encaissée.
DigiNotar a en effet commencé à révoquer les certificats frauduleux le 19 juin, mais ne l'a fait pour les domaines *.google.com qu'à partir du 29. De plus, cette affaire n'a vraiment éclaté qu'un mois plus tard laissant une énorme brèche de sécurité miner les navigateurs et les données personnelles des utilisateurs.
T. Kendall Hunt, président et responsable exécutif de VASCO assure dans l'annonce de la pétition volontaire pour banqueroute que « l'incident à DigiNotar n'a aucun impact sur la technologie d'authentification de VASCO et DigiNotar restera complètement séparée ».
Le haut responsable a par ailleurs signalé que son entreprise coopérera entièrement avec les autorités hollandaises dans ses investigations pour retrouver les responsables de cette attaque.
Source : Vasco
SSL : ComodoHacker revendique l'attaque contre DigiNotar
Et prétend tenir quatre autres autorités de certification à sa merci
Mise à jour du 6 septembre 2011 par Idelways
Le pirate responsable de l'attaque ayant compromis les certificats de sécurités SSL de Diginotar (utilisés entre autres par l'ensemble des sites Google) serait le même qui s'en était pris au mois de mars dernier aux certificats du groupe Comodo.
ComodoHacker, cet étudiant hacker iranien de 21 ans revendique aujourd'hui sa nouvelle attaque contre Diginotar sur le même compte anonyme Pastebin qui avait servi dans l'affaire Comodo.
Dans son texte fortement empreint de ressentiment idéologique, il menace de s'en prendre à nouveau à la Hollande (siège de DigiNotar, l'autorité de certification attaquée) pour une affaire qui remonte à la guerre de Bosnie-Herzégovine.
Il accuse en effet le gouvernement hollandais d'avoir contribué au massacre de Srebrenica en livrant 8000 réfugiés bosniaques aux forces serbes contre 30 soldats hollandais en 1995.
À la manière d'un teaser de film d'espionnage, ComodoHacker promet de publier prochainement des détails hautement critiques des techniques qui lui ont permis de trouver des mots de passe de DigiNotar, d’obtenir des privilèges dans des systèmes « entièrement patchés et à jour », de surpasser leur « nCipher NetHSM, leurs clés hardware, leur gestionnaire de certificat RSA » et à infiltrer au final un réseau interne CERT qui n'aurait « AUCUNE connexion à Internet ».
Il promet aussi d'expliquer comment il avait réussi à obtenir une connexion à un bureau distant alors que les pares-feu bloquaient tous les ports hormis les 80 et 443, et ne permettaient aucune connexion VNC, qu'elle soit directe ou inversée.
« Et bien d'autres » ! ComodoHacker conclut par la révélation non encore prouvée qu'il détient l'accès aux systèmes d'information de quatre autres autorités de certification. Autant de brèches qu'il pourrait utiliser à tout moment pour créer de nouveaux certificats compromis.
Plus de 500 certificats SSL frauduleux auraient été émis par DigiNotar après que la brèche de ComodoHacker ait été exploitée. Un rapport signé Fox-IT, la firme qui audite la sécurité de DigiNotar, présume que pas moins de 300 000 IP uniques se seraient identifiées à des comptes Google à travers ces certificats falsifiés.
Cela signifie concrètement que toute communication entre les services de Google et ces utilisateurs aurait pu être interceptée et lue en clair.
Source : compte Pastebin de ComodoHacker, rapport de Fox-IT
Et vous ?
Qu'en pensez-vous ?
Certificat SSL frauduleux : l'affaire touche plus de sites que ceux de Google
L'autorité de confiance dit avoir été victime d'une attaque en juillet
Mise à jour du 31/08/11
L'affaire du certificat frauduleux émis par l'autorité de confiance hollandaise DigiNotar (lire ci-avant) pourrait toucher plus de sites qu’initialement annoncé.
Dans un premier temps, Google avait déclaré que ses sites étaient exposés. Mais une analyse du code source de la prochaine version de Chrome (mise à jour pour répondre à la menace créée par ce vrai-faux certificat) montre que plusieurs centaines de sites ont été ajoutés à la liste noire du navigateur. Un commentaire de l'équipe de développement ne laisse pas de doute sur le lien avec l'affaire DigiNotar, même si ces ajouts n'en sont pas nécessairement tous la conséquence.
De son côté, l'autorité de confiance a publié un communiqué dans lequel elle explique avoir été victime d'une attaque, le 19 juillet dernier. « DigiNotar a détecté une intrusion dans son infrastructure CA (Certificate Authority), ce qui a abouti à l'émission frauduleuse de demandes de certificats pour un certain nombre de domaines, y compris Google.com. Une fois l'intrusion détectée, DigiNotar a agi conformément à toutes les règles et procédures en vigueur. »
En clair, en révoquant ces certificats. Problème, leur nombre reste confidentiel.
Ce que l'on sait en revanche, c'est qu'un d'entre eux (au moins) a échappé à la procédure. « [Après l'attaque], un audit de sécurité externe a conclu que tous les certificats émis frauduleusement avaient été révoqués. Récemment, nous avons découvert qu'au moins un faux certificat ne l'avait pas été. Après avoir été prévenu par l'organisation gouvernementale Govcert, DigiNotar a pris des mesures immédiates et a révoqué ce certificat frauduleux ».
Dont on ne sait pas s'il s'agit de celui des domaines de Google ou d'un autre.
DigiNotar n'explique pas non plus pourquoi il n'a pas prévenu les éditeurs de navigateurs après l'attaque.
Source : Communiqué de DigiNotar et Chromium Code Reviews
MAJ de Gordon Fowler
Un certificat SSL frauduleux vise les domaines de Google
Vers une remise en cause du système de certification ?
Cela fait désordre. L'autorité de certification DigiNotar a émis un vrai-faux certificat qui permet des attaques de type « man in the middle » sur tous les sites du domaine de Google.
DigiNotar, société hollandaise, n'a pas encore fait savoir si la publication de ce certificat a été faite suite à une demande mal vérifiée ou après une attaque.
Ce certificat SSL frauduleux a été identifié hier et immédiatement révoqué par Google. Mais selon l'Electronic Frontier Foundation, la situation durerait depuis environ deux mois.
Concrètement, la ou les personnes en possession de ce certificat peuvent monter un faux site de type Gmail ou Google Docs, et s'authentifier comme étant les originaux auprès des navigateurs. L'utilisateur rentre alors identifiants, mots de passe, ou toute autre information confidentielle, croyant être sur un site sécurisé.
On en sait pour l'instant assez peu sur l'étendue et l'origine de cette attaque (qui a récupéré ce certificat ?). « Les personnes touchées sont principalement localisées en Iran », croit cependant savoir Google.
Toujours est-il qu'après l'affaire Comodo, c'est tout le protocole SSL qui tremble sur ses fondations. Le système reposant sur des autorités de certifications, qui ont montré par deux fois qu'elles étaient loin d'être infaillibles.
L'EFF va même plus loin en affirmant que sur la centaine d'autorités, plusieurs ont également été dupées. « Donc, il y a peut-être d'autres certificats comme celui-ci dans la nature dont nous ne savons rien. Cela signifie que presque tous les utilisateurs d'Internet sont encore vulnérables à ce genre d'attaques ».
Mozilla a d'ores et déjà révoqué en bloc tous les certificats de DigiNotar. Google lui emboîtera le pas dans une prochaine mise à jour de Chrome. Les autres acteurs du marché devraient suivre.
Source : Google, EFF, Mozilla
Et vous ?
Pensez-vous que le système derrière le SSL vacille ?
Si oui, quelle alternative y voyez-vous ?
Un certificat SSL frauduleux vise tous les domaines de Google
Après l'affaire Comodo le système de certification est-il remis en cause ?
Un certificat SSL frauduleux vise tous les domaines de Google
Après l'affaire Comodo le système de certification est-il remis en cause ?
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !