Alors que Comodo a émis en début d’année des certificats SSL frauduleux pour des grands noms de domaines comprenant live.com ou encore google.com (cf article ici), c’est au tour d’une nouvelle autorité de certification (CA) néerlandaise DigiNotar d’annoncer en cette fin de mois d’août qu’elle a du révoquer en panique près de 300 certificats SSL qui avaient été émis pour des noms de domaines préstigieux dont google.com.
Un certificat Wildcard de type *.google.com a été émis via cette CA. Il a fallu à DigiNotar plus d’un mois pour se rendre compte de la bévue et la révoquer en date du 28 août alors que le 19 juillet ils pensaient avoir révoquer tous les certificats qui avaient échappé à leur vigilance. Il semblerait qu’une fois encore cette attaque de système d’émission provienne d’Iran et permettrait essentiellement d’intercepter des emails d’iraniens pour le compte du régime.
Toutes les CA’s sont désormais des cibles privilégiées des hackers de tous bords, et elles doivent tout mettre en oeuvre pour combattre tout type d’intrusion dans leurs systèmes d’émission. Il est clair que la menace est grande de voir d’autres CAs émettre des certificats SSL frauduleux dans le futur. Cependant, les CA les plus reconnues et puissantes comme le groupe Symantec (VeriSign, Thawte ou GeoTrust) ou GlobalSign, CA revendues par SSL247 et choisies pour leur sérieux, n’ont pas émis de faux certificats et ne sont pour le moment absolument pas concernées par les soucis qu’ont pu connaître ces CAs aux standard d’émissions plus légers et aux contrôles moins poussés.
Pour éviter ces problèmes à l’avenir, le choix des CAs pour le client est évidemment d’une importance capitale. En effet, le prix rentre très souvent dans les décisions des acheteurs. Cependant, la sécurité et l’intégrité des systèmes d’émissions et de contrôle ont un coût et il va de soi que ce seul facteur prix entrant dans un schéma décisionnel ne permet pas l’optimisation de l’inviolabilité d’un système qui fonctionne par ailleurs très bien. Pour faire un parallèle simple, la crise de la vache folle et donc la qualité de la viande bovine a été mise en peril pour faute de coûts tirés vers le bas en nourrissant le bétail de farines animales. Depuis ce drame, les autorités ont réagi et mis en place des standards de production plus drastiques. Qu’attend-on pour faire le ménage dans les petites CA tirant les prix vers le bas et du coup dépassées par les hackers travaillant pour les forces obscures…