Découverte de faux certificats sur des sites de communication majeurs. (Mars 2011)

Posted on by

Alerte officielle émise par COMODO – Organisme Américain créateur à la demande de certificats.

Qu’est ce qu’un certificat ? Quelle est sa fonction ?

Un certificat est une carte d’identité d’un site publique. Il s’installe, après votre accord, sur votre ordinateur afin de sécuriser la connexion au site auquel elle appartient.

Il est composé, entre autre, d’une clé comprenant chiffres et lettres, du nom du propriétaire, d’une durée (date de début et de fin), qui via la fonction de hachage crée une empreinte unique et privée gérée par l’autorité de régulation des certificats (ARCEP). Celle ci est chargée de délivrer les certificats, de leurs donner une date de péremption et de les révoquer en cas ou (soit constatation d’une fraude ou sur demande du propriétaire).

Dans le monde professionnel, les certificats sont principalement utilisés pour toutes les connexions des entreprises vers les sites marchands ou bancaires.

Quelle est la fraude constatée ainsi que ses conséquences ?

Une personne serait parvenue à générer neuf vrais-faux certificats pour des domaines majeurs (Google Mail, Yahoo, Live.com, addons.mozilla.org et Skype notamment…). Cela signifie que l’attaquant est en mesure de remplacer tous ces sites par des copies parfaites. Les utilisateurs qui s’y connecteraient de manière sécurisée (via HTTPS) seraient alors dans l’incapacité de faire la différence entre le vrai site et sa copie contrôlée par l’attaquant.

Comodo a annoncé avoir détecté la fraude et révoqué les certificats concernés en quelques heures.

En conclusion :

La conséquence immédiate est minime car l’attaque ne concerne que des sites de communication. Par contre, cette attaque signifie que la sécurité des certificats pour les transactions B to B et bancaires ne seraient plus assurées avec ce type de technologie…

La liste des domaines usurpés :

addons.mozilla.org / login.live.com / mail.google.com / www.google.com / login.yahoo.com / login.skype.com / global trustee

Laisser un commentaire