Certificats SSL frauduleux : nombreux domaines concernés

Le par  |  0 commentaire(s)
cadenas

Google.com n'était pas le seul domaine concerné. De nombreux domaines en réalité avec l'émission d'au moins 531 certificats SSL frauduleux.

cadenasLa compromission semble bien plus étendue qu'annoncée initialement dans l'affaire de non pas du mais des certificats SSL frauduleux de DigiNotar ( voir notre actualité ), et Google.com n'a pas été le seul domaine concerné.

DigiNotar a confirmé la détection le 19 juillet 2011 d'une intrusion dans son infrastructure Certificate Authority ( CA ) et pour conséquence la délivrance frauduleuse de certificats SSL et EVSSL.

Si l'autorité de certification a fait mention d'un nombre de domaines en relation dont Google.com, ce nombre est élevé. Parmi les cibles, le projet Tor a été contacté par le gouvernement des Pays-Bas et a publié la liste des domaines " cibles ".

Google, Microsoft, Mozilla, Facebook, Twitter, Yahoo... ainsi que la CIA, le Mossad pour 531 certificats frauduleux. La liste est toutefois à considérer comme non exhaustive dans le mesure où l'audit en cours n'est pas encore terminé.

Sur la base de la réception de rapports d'utilisation de certificats dans la nature, Mozilla a rappelé que l'attaque n'est pas théorique. Mozilla, Google et Microsoft ont été parmi les plus prompts à réagir afin de supprimer DigiNotar en tant qu'autorité sûre ( les utilisateurs Opera étaient déjà protégés ).

La société de sécurité Sophos pointe par contre du doigt Apple en notant l'absence d'une mise à jour Safari et Mac OS X.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]