Affaire DigiNotar : un nouvel éditeur de certificats s'arrête temporairement

Olivier Robillart
Publié le 07 septembre 2011 à 11h42
Dans sa revendication, le hacker qui a expliqué avoir généré des SSL frauduleux (Secure Socket layer) a indiqué qu'il s'était également introduit chez d'autres autorités de certification. Selon ses dires, il serait en mesure de reproduire des certificats édités par GlobalSign. Cette dernière annonce donc le lancement d'une enquête.

00FA000001967508-photo-http-logo.jpg
Le hacker baptisé « Comodohacker » a récemment revendiqué ses intrusions chez deux autorités chargées de la certification de ces SSL (GlobalTrust et DigiNotar). Dans son message, le pirate précisait qu'il disposait également des comptes d'accès de 4 autres autorités de certification « majeures », il citait alors StartCom et GlobalSign. Selon ses dires, il serait donc capable de créer à nouveau des certificats SSL frauduleux capables d'induire en erreur les internautes.

GlobalSign a répondu à cette menace en indiquant qu'il était en train de mener une enquête sur le sujet. L'autorité précise : « nous prenons cette réclamation très au sérieux et nous sommes en cours d'enquête. En tant qu'autorité de certification responsable, nous avons donc décidé de cesser temporairement l'émission de tous nos certificats jusqu'à ce que l'enquête soit complète. Nous posterons des mises à jour le plus fréquemment possible. En attendant, nous tenons à nous excuser pour la gêne occasionnée ».

Pour sa part, le gouvernement des Pays-Bas (pays dans lequel l'autorité DigiNotar se trouve) mène également une investigation afin de savoir si l'autorité de certification était suffisamment protégée face à des attaques extérieures. Les premiers éléments de l'enquête ont montré que DigiNotar utilisait des mots de passe faibles pour certains de ses accès et n'avait pas mis à jour des logiciels sur ses serveurs publics. Enfin, aucune solution de sécurité ne semblait être installée...

Toujours est-il que suite à cette nouvelle émission de certificats frauduleux, les éditeurs ont été obligés d'éditer des mises à jour de leurs navigateurs. Par exemple, Google a publié une rustine pour Chrome. De son côté, Mozilla a également mis en ligne la nouvelle version 6.0.2 de son navigateur Firefox. Enfin, Microsoft a également réagi en publiant un correctif pour Windows XP, Vista et 7 via le support de téléchargement automatique des mises à jour.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles