Publié par UnderNews Actu - Télécharger l'application Android

En fin de semaine dernière, l’autorité de certification néerlandaise DigiNotar expliquait qu’une intrusion avait permis à un hacker de lui dérober plusieurs certificats SSL (Secure socket Layer). Cette fois, certains spécialistes en sécurité critiquent ouvertement le fait que des sociétés privées puissent délivrer ces certificats.

L’affaire de l’utilisation frauduleuse de certificats de sécurité SSL connaît de nouveaux développements. L’autorité de certification DigiNotar (propriété du groupe Vasco) a récemment admis avoir été victime d’une intrusion destinée à lui subtiliser ses certificats SSL et EVSSL. Ces derniers sont des passeports électroniques qui permettent d’établir le lien entre une page web hébergée et son propriétaire. Ce certificat authentifie donc le serveur afin de sécuriser les échanges avec les internautes qui s’y connectent.

HMA Pro VPN

Suite à cette confirmation de DigiNotar, on apprend également que certains de ces certificats ont visé de nombreux domaines appartenant non seulement à Google mais également à Microsoft, Facebook, Skype, la CIA, le MI6 ou le Mossad (services de renseignements d’Israël). Ainsi, pas moins de 531 certificats auraient été utilisés de manière frauduleuse.

Pour rappel, cette intrusion n’est pas la première de ce genre. En avril dernier, un cas similaire avait déjà été révélé. La société Comodo indiquait que les certificats de sécurité mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, global trustee avaient été compromis. L’éditeur avait expliqué qu’un hacker de nationalité iranienne était parvenu à mettre en place des certificats frauduleux.

A l’époque, la rédaction avait interrogé Keynectis, une société privée, spécialiste de la sécurité informatique afin d’en savoir un peu plus sur le fonctionnement du marché de la certification SSL. L’éditeur expliquait alors que l’évolution du marché avait conduit à une optimisation des coûts afin de proposer des certificats moins chers. Certains éditeurs ou autorités de certifications seraient donc faillibles…

Un point de vue également partagé par le spécialiste en sécurité Christopher Soghoian. Sur son fil Twitter, l’expert en sécurité informatique demande à ce que les autorités (notamment américaines) se saisissent de cette utilisation frauduleuse de certificats. Dans cette optique, un contrôle plus strict des activités des sociétés privées du secteur pourrait être à l’ordre du jour.

En attendant de telles réformes, Google, Microsoft et Mozilla ont déjà révoqué de nombreux certificats SSL frauduleux pour leurs navigateurs respectifs.

Source : Clubic

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , , , ,

Recherches en relation :

  • expert en sécurité informatique

Vos réactions

Ils parlent du sujet :

  1. […] soit valide et que l’autorité de certification ne soit pas compromise ! Rappelez-vous des nombreux vol massifs de certificats ayant eu […]

  2. […] Vols de certificats SSL : les experts tirent la sonnette d’alarme […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.