Alerte Google : certificat SSL frauduleux

Google tire la sonnette d'alarme. Le géant du Web rapporte que des tentatives d'attaque de type man-in-the-middle ont eu lieu à l'encontre de certains de ses services utilisant SSL. Ces attaques ont surtout ciblé des utilisateurs en Iran, ce qui laisse en suspens la question d'une implication du gouvernement iranien.

En l'occurrence, c'est un certificat SSL frauduleux qui a été utilisé pour les attaques. Rappelons qu'un certificat SSL permet de prouver qu'un site est légitime. Un certificat frauduleux peut aiguiller un utilisateur vers un faux site Web afin de récupérer par exemple des identifiants.

Ce certificat SSL frauduleux a été émis par l'autorité de certification DigiNotar le 10 juillet dernier, et a été révoqué hier. Pendant plus d'un mois et demi, ce certificat a ainsi été valide pour les domaines *.google.com.

La firme de Mountain View indique que DigiNotar ne devrait pas délivrer de certificats pour Google. Il n'est pas encore très clair comment DigiNotar a été berné dans cette affaire qui n'est pas loin de rappeler celle de Comodo ( voir notre actualité ).

Avec la révocation du certificat SSL frauduleux, la plupart des utilisateurs sont désormais hors de danger. Néanmoins, quelques zones d'ombre demeurent et par mesure de précaution supplémentaire, Mozilla prévient d'une mise à jour imminente de Firefox ( ainsi que Thunderbird et SeaMonkey ).

Google écrit que Google Chrome a été capable de détecter le certificat frauduleux et que ses utilisateurs ont été protégés des attaques éventuelles.