L'affaire de l'utilisation frauduleuse de certificats de sécurité SSL connaît de nouveaux développements. L'autorité de certification DigiNotar (propriété du groupe Vasco) a récemment admis avoir été victime d'une intrusion destinée à lui subtiliser ses certificats SSL et EVSSL. Ces derniers sont des passeports électroniques qui permettent d'établir le lien entre une page web hébergée et son propriétaire. Ce certificat authentifie donc le serveur afin de sécuriser les échanges avec les internautes qui s'y connectent.
Suite à cette confirmation de DigiNotar, on apprend également que certains de ces certificats ont visé de nombreux domaines appartenant non seulement à Google mais également à Microsoft, Facebook, Skype, la CIA, le MI6 ou le Mossad (services de renseignements d'Israël). Ainsi, pas moins de 531 certificats auraient été utilisés de manière frauduleuse.
Pour rappel, cette intrusion n'est pas la première de ce genre. En avril dernier, un cas similaire avait déjà été révélé. La société Comodo indiquait que les certificats de sécurité mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, global trustee avaient été compromis. L'éditeur avait expliqué qu'un hacker de nationalité iranienne était parvenu à mettre en place des certificats frauduleux.
A l'époque, la rédaction avait interrogé Keynectis, une société privée, spécialiste de la sécurité informatique afin d'en savoir un peu plus sur le fonctionnement du marché de la certification SSL. L'éditeur expliquait alors que l'évolution du marché avait conduit à une optimisation des coûts afin de proposer des certificats moins chers. Certains éditeurs ou autorités de certifications seraient donc faillibles...
Un point de vue également partagé par le spécialiste en sécurité Christopher Soghoian. Sur son fil Twitter, l'expert en sécurité informatique demande à ce que les autorités (notamment américaines) se saisissent de cette utilisation frauduleuse de certificats. Dans cette optique, un contrôle plus strict des activités des sociétés privées du secteur pourrait être à l'ordre du jour.
En attendant de telles réformes, Google, Microsoft et Mozilla ont déjà révoqué de nombreux certificats SSL frauduleux pour leurs navigateurs respectifs.