Des pirates volent des certificats SSL et se font passer pour Google

DigiNotar, une société spécialisée dans la distribution de certificats SSL fait l’objet d’un scandale sans précédent. Elle fut victime d’une vaste opération qui a permis à des pirates, affirmant être iraniens, de falsifier des certificats SSL au nom de Microsoft, Facebook, Skype et même la CIA, MI6 ou le Mossad. Elle a tenté de tempérer la gravité de la situation en jetant un voile sur certains aspects de cette affaire. Aujourd’hui, des internautes sont victimes de sites utilisant les certificats volés.

Une attaque élaborée visant les internautes iraniens

Selon Gervase Markham, un développeur pour Mozilla, le nombre de certificats falsifiés s’élève aujourd’hui à 531. Les pirates, qui ont laissé un mot sur le site de DigiNotar, ont pénétré ses serveurs pour créer des certificats au nom de Twitter et beaucoup d’autres encore. Il leur fut ensuite possible de lancer une attaque de l’homme du milieu. Google affirme que des internautes voulant visiter GMail auraient été redirigés vers un site pirate. Le navigateur n’y que voit du feu puisque le certificat apparaît être légitime. Chrome a néanmoins détecté la supercherie, car Google intègre des codes spéciaux destinés à son navigateur dans ses certificats. Les hackeurs peuvent alors surveiller les internautes et s’emparer de leurs données.

Selon le moteur de recherche, les victimes résident principalement en Iran. Certains experts n’hésitent d’ailleurs pas à affirmer que les hackeurs auraient eu l’aide ou au moins la bénédiction du gouvernement iranien. Quoi qu’il en soit, l’attaque était extrêmement élaborée puisqu’elle a demandé d’empoisonner des DNS pour que les internautes iraniens soient renvoyés vers les serveurs pirates disposant d’une page ressemblant à GMail.

Des manquements technologiques et professionnels

Le gouvernement hollandais, lui aussi client de DigiNotar, a demandé à ses employés de ne plus utiliser son site en attendant que de nouveaux certificats soient donnés. Devant l’ampleur de la situation, Google et Mozilla ont annoncé révoquer indéfiniment tous les certificats publiés par la société. De nombreux experts s’accordent à penser que cette décision entraînera la mort de la société hollandaise.

Les deux éditeurs affirment que leur décision fut aussi motivée par le manque de transparence de DigiNotar qui a été piraté le 10 juillet dernier, mais qui n’a publié de communiqué que le 30 août, après que Google ait tiré la sonnette d’alarme. Il a admis avoir été au courant de cette affaire depuis le 19 juillet 2011. F-Secure, éditeur de logiciels de sécurité du même nom, affirme quant à lui que la société souffre de problèmes de sécurité depuis mai 2009 et que les dernières attaques sont l’oeuvre de plusieurs groupes pirates.

À l’instar de Christopher Soghoian, expert en sécurité informatique, de nombreuses voix se lèvent pour demander que les gouvernements prennent ce problème très au sérieux. La délivrance de certificats SSL par des compagnies privées est un sujet souvent débattu et cette affaire donne de nouveaux arguments à ceux qui souhaitent une réforme du système en place.