Certificats SSL frauduleux : nombreux domaines concernés

La compromission semble bien plus étendue qu'annoncée initialement dans l'affaire de non pas du mais des certificats SSL frauduleux de DigiNotar ( voir notre actualité ), et Google.com n'a pas été le seul domaine concerné.

DigiNotar a confirmé la détection le 19 juillet 2011 d'une intrusion dans son infrastructure Certificate Authority ( CA ) et pour conséquence la délivrance frauduleuse de certificats SSL et EVSSL.

Si l'autorité de certification a fait mention d'un nombre de domaines en relation dont Google.com, ce nombre est élevé. Parmi les cibles, le projet Tor a été contacté par le gouvernement des Pays-Bas et a publié la liste des domaines " cibles ".

Google, Microsoft, Mozilla, Facebook, Twitter, Yahoo... ainsi que la CIA, le Mossad pour 531 certificats frauduleux. La liste est toutefois à considérer comme non exhaustive dans le mesure où l'audit en cours n'est pas encore terminé.

Sur la base de la réception de rapports d'utilisation de certificats dans la nature, Mozilla a rappelé que l'attaque n'est pas théorique. Mozilla, Google et Microsoft ont été parmi les plus prompts à réagir afin de supprimer DigiNotar en tant qu'autorité sûre ( les utilisateurs Opera étaient déjà protégés ).

La société de sécurité Sophos pointe par contre du doigt Apple en notant l'absence d'une mise à jour Safari et Mac OS X.