SSL: DigiNotar, une nouvelle CA corrompue

Alors que Comodo a émis en début d’année des certificats SSL frauduleux pour des grands noms de domaines comprenant live.com ou encore google.com (cf article ici), c’est au tour d’une nouvelle autorité de certification (CA) néerlandaise DigiNotar d’annoncer en cette fin de mois d’août qu’elle a du révoquer en panique près de 300 certificats SSL qui avaient été émis pour des noms de domaines préstigieux dont google.com.

Un certificat Wildcard de type *.google.com a été émis via cette CA. Il a fallu à DigiNotar plus d’un mois pour se rendre compte de la bévue et la révoquer en date du 28 août alors que le 19 juillet ils pensaient avoir révoquer tous les certificats qui avaient échappé à leur vigilance. Il semblerait qu’une fois encore cette attaque de système d’émission provienne d’Iran et permettrait essentiellement d’intercepter des emails d’iraniens pour le compte du régime.

Toutes les CA’s sont désormais des cibles privilégiées des hackers de tous bords, et elles doivent tout mettre en oeuvre pour combattre tout type d’intrusion dans leurs systèmes d’émission. Il est clair que la menace est grande de voir d’autres CAs émettre des certificats SSL frauduleux dans le futur. Cependant, les CA les plus reconnues et puissantes comme le groupe Symantec (VeriSign, Thawte ou GeoTrust) ou GlobalSign, CA revendues par SSL247 et choisies pour leur sérieux, n’ont pas émis de faux certificats et ne sont pour le moment absolument pas concernées par les soucis qu’ont pu connaître ces CAs aux standard d’émissions plus légers et aux contrôles moins poussés.

Pour éviter ces problèmes à l’avenir, le choix des CAs pour le client est évidemment d’une importance capitale. En effet, le prix rentre très souvent dans les décisions des acheteurs. Cependant, la sécurité et l’intégrité des systèmes d’émissions et de contrôle ont un coût et il va de soi que ce seul facteur prix entrant dans un schéma décisionnel ne permet pas l’optimisation de l’inviolabilité d’un système qui fonctionne par ailleurs très bien. Pour faire un parallèle simple, la crise de la vache folle et donc la qualité de la viande bovine a été mise en peril pour faute de coûts tirés vers le bas en nourrissant le bétail de farines animales. Depuis ce drame, les autorités ont réagi et mis en place des standards de production plus drastiques. Qu’attend-on pour faire le ménage dans les petites CA tirant les prix vers le bas et du coup dépassées par les hackers travaillant pour les forces obscures…

Advertisements

About blogeezer

Je suis un entrepreneur lillois, fan de nouvelles technologies et passionné du web. Je suis associé dans plusieurs entreprises dont SSL247, revendeur n°1 en Europe des certificats SSL. J'ai aussi créé avec mon associé ww.JobisO.fr, 1ère solution de recrutement low-cost en France. Enfin, notre petit dernier projet se nomme Wilck. Wilck (www.wilck.fr) est créateur de solutions mobiles pour tous en proposant des sites internet optimisés pour les téléphones portables, clé en main à toutes les entreprises, indépendants, PME et TPE. L'idée de mon blog est d'exprimer mes coups de coeur technologiques, mes petites experiences d'entrepreneur et mes reflexions sur le monde de l'internet et de l'entrepreunariat en général.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s