un certificat SSL frauduleux pour *.google.com

Un certificat SSL frauduleux pour *.google.com a été identifié hier, cf le message officiel sur le blog de Google.

Avec un tel certificat dans la nature, les internautes peuvent être la cible d'attaques dite de MITM (Man-In-The-Middle - ou "homme du milieu") alors qu'ils se connectent aux services de Google comme  Gmail par exemple. Un attaquant serait donc en mesure de voir le contenu des communications à l'insu de la personne pour lire ses mails.

Selon un échange sur le forum de support de Google UK, il semblerait que cette attaque soit liée avec des écoutes illégales de communications Internet depuis l'Iran : Information à prendre avec des pincettes car rien n'est sûr mais cela semble tout à fait vraisemblable. En effet, l'article de l'EFF  intitulé "Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities" confirme l'incident et remet une couche sur le danger que représente le système basé sur les autorités de certification.

autorité de certification : DigiNotar

Ce certificat a été émis par l'autorité de certification DigiNotar (Pays-Bas). Pour le moment, on ne sait pas si leur procédures de délivrance de certificats sont en cause ou si ils ont été victimes d'une intrusion. Les détails du certificat SSL frauduleux sont disponibles ici sous Pastebin.

La réaction de Mozilla est tranchante : L'autorité de certification DigiNotar est révoquée de la liste des autorités approuvées dans Firefox, Seamonkey et ThunderBird. Tous les certificats émis par DigiNotar  sont donc invalidés (donc celui émis pour *.google.com mais aussi bien d'autres par la même occasion).

Visiblement, aucune info de visible sur le site web de DigiNotar

faire le ménage

Il est recommandé de mettre à jour son navigateur Firefox pour bénéficier de la liste des autorités de certifications mise à jour suite à la révocation par Mozilla.

Pour les personnes ne pouvant mettre à jour leur navigateur ; il leur est possible de révoquer manuellement DigiNotar en suivant ce guide pour Firefox.

Pour Internet Explorer iront sous "Outils" puis "Options Internet" ; sélectionner l'onglet "Contenus". Cliquer sur le bouton "Editeurs" (dans la section "certificats") et selectionneront l'onglet "Autorités principales de confiance" : Ils pourront supprimer l'entrée "DigiNotar root CA".

vers un autre système ?

Le problème du système a été une nouvelle fois pointé du doigt par Moxie Marlinspike lors de la Defcon 2011 : L'une des solutions proposée s'appuie sur le système baptisé "Convergence" qui ; via une extension Firefox ; rends le contrôle à l'utilisateur. A suivre.

Jean-François Audenard

Crédit : © Joerg Habermeier - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens