Microsoft qualifie les certificats SSL de Diginotar "d'indignes de confiance"
Et publie un correctif de sécurité pour Windows

Le , par Hinault Romaric, Responsable .NET
Tous les certificats de sécurités SSL (Secure Socket Layer) de Diginotar seraient désormais peu fiables selon Microsoft suite à une enquête de la société.

L'autorité de certification hollandaise DigiNotar avait été victime récemment d’une attaque revendiquée par le pirate ComodoHacker qui avait entraîné l’émission de faux certificats pour plusieurs sites, dont l’ensemble des sites de Google.

La réaction de Microsoft suite à cette affaire est la publication d’une mise à jour de sécurité pour l’ensemble de ses systèmes d’exploitation Windows (XP, Vista, Seven, Server, etc.).

La firme conclut dans un billet de blog que "les certificats de DigiNotar sont indignes de confiance". Elle place ceux-ci au niveau des certificats non approuvés dans son correctif disponible depuis hier.

Microsoft avait déjà procédé à la suppression des certificats de DigiNator dans sa liste de confiance Microsoft Certificate Trust List (MCTL) utilisée par Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 et Internet Explorer pour valider l'approbation d'une autorité de certification.

La mise à jour de sécurité permet donc de régler ce problème pour les utilisateurs de Windows XP, Windows Server 2003 et les autres applications Windows tierces non protégées.

La mise à jour est disponible dans le monde entier via la fonction de mise à jour automatique de Windows... sauf au Pays-Bas suite à une demande explicite du gouvernement Néerlandais, indique Microsoft (DigiNotar est une autorité de confiance hollandaise qui a publié des certificats pour les institutions de ce pays).

Pour mémoire, plus de 500 certificats SSL frauduleux pouvant induire les internautes en erreur et usurper leur identité auraient été émis par DigiNotar après l’exploitation d'une faille de sécurité par des pirates. Pas moins de 300 000 IP uniques se seraient identifiées à des comptes Google à travers ces certificats falsifiés.

DigiNotar avait gardé le silence sur l'attaque de ses systèmes pendant près de deux mois.

Source : Microsoft


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Inazo Inazo - Membre averti https://www.developpez.com
le 07/09/2011 à 15:55
Bonjour,

Juste :

DigiNotar avait gardé le silence sur l'attaque de ses systèmes pendant près de deux mois.

Irréaliste tout simplement, rassurez nous pas ils ont pris des mesures durant ces deux mois

Cordialement,
Avatar de ctiti60 ctiti60 - Membre régulier https://www.developpez.com
le 07/09/2011 à 16:08
Oui, ils ont pris toutes les mesures pour le cacher le plus longtemps possible
Avatar de droggo droggo - Expert confirmé https://www.developpez.com
le 07/09/2011 à 16:36
Moa,

Parce que quand Microsoft a des problèmes, ils le crient sur les toits pour mettre tout le monde au courant ...
Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 07/09/2011 à 17:43
Le problème, en tant qu'autorité de certification, ils l'auraient signalé immédiatement et pris les mesures qui vont bien, ça aurait pû passer. Mais là, que les mesures aient été prises ou pas, de ne pas signaler et de cacher volontairement que leurs certificats peuvent potentiellement être corrompus, fait que l'on ne peut vraiment plus avoir confiance en eux, et justifie de fait l'action de Microsoft.
Avatar de droggo droggo - Expert confirmé https://www.developpez.com
le 07/09/2011 à 18:12
Lai,

Je ne cherche pas à excuser leur comportement, mais à rappeler que quand ça arrive à d'autres, vous semblez fermer les yeux beaucoup plus facilement.
Avatar de Marco46 Marco46 - Expert éminent https://www.developpez.com
le 07/09/2011 à 18:32
Citation Envoyé par droggo  Voir le message
Lai,

Je ne cherche pas à excuser leur comportement, mais à rappeler que quand ça arrive à d'autres, vous semblez fermer les yeux beaucoup plus facilement.

Oui mais là on parle d'une autorité de certification. La clef de voûte d'une PKI c'est précisément la confiance. Donc ...

J'espère que la fondation fera la même mise à jour pour ses logiciels.
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil