Developpez.com

Club des développeurs et IT pro
Plus de 4 millions de visiteurs uniques par mois

SSL : ComodoHacker revendique l'attaque contre DigiNotar
Et prétend tenir quatre autres autorités de certification à sa merci

Le , par Idelways, Expert éminent sénior
Mise à jour du 6 septembre 2011 par Idelways

Le pirate responsable de l'attaque ayant compromis les certificats de sécurités SSL de Diginotar (utilisés entre autres par l'ensemble des sites Google) serait le même qui s'en était pris au mois de mars dernier aux certificats du groupe Comodo.

ComodoHacker, cet étudiant hacker iranien de 21 ans revendique aujourd'hui sa nouvelle attaque contre Diginotar sur le même compte anonyme Pastebin qui avait servi dans l'affaire Comodo.

Dans son texte fortement empreint de ressentiment idéologique, il menace de s'en prendre à nouveau à la Hollande (siège de DigiNotar, l'autorité de certification attaquée) pour une affaire qui remonte à guerre de Bosnie-Herzégovine.

Il accuse en effet le gouvernement hollandais d'avoir contribué au massacre de Srebrenica en délivrant 8000 réfugiés bosniaques aux forces serbes contre 30 soldats hollandais en 1995.

À la manière d'un teaser de film d'espionnage, ComodoHacker promet de publier prochainement des détails hautement critiques des techniques qui lui ont permis de trouver des mots de passe de DigiNotar, d’obtenir des privilèges dans des systèmes « entièrement patché et à jour », de surpasser leur « nCipher NetHSM, leurs clés hardware, leur gestionnaire de certificat RSA » et à infiltrer au final un réseau interne CERT qui n'aurait « AUCUNE connexion à Internet ».

Il promet aussi d'expliquer comment avait-il réussi à obtenir une connexion à un bureau distant alors que les pare-feu bloquaient tous les ports hormis les 80 et 443, et ne permettait aucune connexion VNC, qu'elle soit directe ou inversée.

« Et bien d'autres », conclu ComodoHacker ses révélations par la révélation non encore prouvé qu'il détient accès aux systèmes d'information de quatre autres autorités de certifications. Autant de brèches qu'il pourrait utiliser à tout moment pour créer de nouveaux certificats compromis.

Plus de 500 certificats SSL frauduleux auraient été émis par DigiNotar après que la brèche de ComodoHacker ait été perpétuée. Un rapport signé Fox-IT, la firme qui audite la sécurité de DigiNotar, présume que pas moins de 300 000 IP uniques se seraient identifiés à des comptes Google à travers ces certificats falsifiés.

Cela signifie concrètement que toute communication entre les services de Google et ces utilisateurs aurait pu être interceptée et lue en claire.

Source : compte Pastebin de ComodoHacker, rapport de Fox-IT

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de rt15 rt15 - Membre confirmé https://www.developpez.com
le 07/09/2011 à 15:59
Ça ferait un (bon ?) roman d'espionnage.

Après le très compliqué stuxnet, probablement réalisé par une équipe de professionnels, on dirait bien que la "contre attaque" vient d'un simple étudiant.

En tout cas le rapport de Fox-IT semble tout à fait confirmer que les deux attaques sont du même auteur. Reste à savoir si ce n'est pas les services secrets iraniens qui ont inventé le personnage de ComdoHacker. En tout cas, si c'est une vraie personne, il est très bien endoctriné par le régime en place, cf la signature "I will sacrifice my soul for my leader".

Mais s'ils sont plusieurs, alors ils tiennent à ce que ComodoHacker ressemble un peu à un branquignol :
it is so unusual like greater than sign in all programming languages is "<" but in XUDA it is "{"

Toujours d'après Fox-IT, l'attaque a été un succès. En gros il a eu le mot de passe admins du domaine windows dans lequel se trouvait les principaux serveurs. Autant dire qu'il a pu faire ce qu'il voulait. Les certificats semble avoir été utilisés par des hackers iraniens.

Sur le plan techniques, il aurait utilisé des outils classiques, mais il aurait aussi fait des programmes et des scripts dédiés, certains donnant une impression d'amateurisme, d'autres étant très avancés. Les défenses de DigiNotar semblait en tout cas insuffisantes (Pas d'anti-virus sur les serveurs, un seul login/mot de passe permettant l'accès à de multiples serveurs, les serveurs exposés sur le réseaux pas forcément à jour...).
Avatar de Clink Clink - Futur Membre du Club https://www.developpez.com
le 18/09/2011 à 3:14
Je voudrais juste demander pourquoi, en anglais il y a écrit :

8000 muslims

Et en Français :

8000 réfugies bosniaques

Problème dans la traduction ?
Avatar de Idelways Idelways - Expert éminent sénior https://www.developpez.com
le 21/09/2011 à 19:28
L'autorité de certification DigiNotar en banqueroute
Et sera liquidée, conséquence de la déroute ComodoHacker

Mise à jour du 21 septembre 2011 par Idelways

De sa propre initiative, le groupe américain VASCO Data Security International vient de placer en banqueroute sa subsidiaire Hollandaise DigiNotar, l'autorité de certification accusée de manquement grave à la sécurité après la déroute ComodoHacker.

Le dépôt de cette procédure a eu lieu le 19 septembre auprès de la cour du district d'Haarlem au pays bas. La banqueroute a été prononcée le lendemain et un syndic de faillite prendra en main la gestion de l'entreprise et sa liquidation, sous le contrôle du juge chargé de l'affaire.

Pour mémoire, des hackers se sont infiltrés dans les systèmes de sécurité de DigiNotar, et ont réussi de falsifier les certificats de sécurités destinés à Google et à d'autres cibles majeures.

Mais c'est sa gestion de cette crise qui a fait de DigiNotar un paria de la sécurité auprès des éditeurs de navigateurs et systèmes d'exploitation. On lui reproche dans les faits deux torts : le manquement scandaleux à la sécurité pour un système de cette criticité, et l'attente incompréhensible avant de mettre au grand jour la débâcle encaissée.

DigiNotar a en effet commencé à révoquer les certificats frauduleux le 19 juin, mais ne l'a fait pour les domaines *.google.com qu'à partir du 29. De plus, cette affaire n'a vraiment éclaté qu'un mois plus tard laissant une énorme brèche de sécurité miner les navigateurs et les données personnelles des utilisateurs.

T. Kendall Hunt, président et responsable exécutif de VASCO assurent dans l'annonce de la pétition volontaire pour banqueroute que « l'incident à DigiNotar n'a aucun impact sur la technologie d'authentification de VASCO et DigiNotar restera complètement séparée ».

Le haut responsable a par ailleurs noté que son entreprise coopérera entièrement avec les autorités hollandaises dans ses investigations pour retrouver les responsables de cette attaque.

Pour plus d'informations sur l'affaire DigiNotar, lire notre dossier ci-devant.

Source : Vasco
Avatar de 6-MarViN 6-MarViN - Membre confirmé https://www.developpez.com
le 22/09/2011 à 10:23
Ah ben bravo! Tout ça à cause d'un glandu qui a trouvé ça marrant de ressortir des vieux dossiers pour se donner une excuse de terroriser le monde. Maintenant les gens perdent leur emploi... C'est pathéthique.
Avatar de zeyr2mejetrem zeyr2mejetrem - Membre chevronné https://www.developpez.com
le 22/09/2011 à 11:50
Citation Envoyé par 6-MarViN  Voir le message
Ah ben bravo! Tout ça à cause d'un glandu qui a trouvé ça marrant de ressortir des vieux dossiers pour se donner une excuse de terroriser le monde. Maintenant les gens perdent leur emploi... C'est pathéthique.

Cette situation malheureuse ne doit pas faire pointer du doigts les crackers (pas uniquement).
En effet, les chapeaux noirs font leur boulot de chapeau noir, en quelque sorte ...
Ce qui a vraiment mis le feu aux poudres c'est le relent de malhonnêteté lors de la gestion de la crise par le tiers de confiance.

Imaginons une banque qui se fait braquer un de ses coffres-forts par des braqueurs. Ca arrive. C'est potentiellement inévitable dans l'absolu.
Maintenant imaginons que cette banque se taise et dise à ses clients qu'il n'y a aucun problème tout en stockant les nouveaux dépôts dans des sacs poubelles 100L dans la remise derrière les guichets.
Les clients en apprenant cela fermeraient tous leurs comptes et la banque ferait faillite.

C'est pareil dans ce cas.
Diginotar aurait dû communiquer tout de suite et suspendre ses émissions de certificat ...
Avatar de kdmbella kdmbella - Expert éminent https://www.developpez.com
le 22/09/2011 à 13:35
Diginotar aurait dû communiquer tout de suite et suspendre ses émissions de certificat ...

effectivement je trouve que leur démarche à été un peu idiote de vouloir dissimuler un truc aussi énorme. S'ils avaient été "plus sage", ils auraient pu perdre beaucoup au lieu de tout perdre
Offres d'emploi IT
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil