Des certificats HTTPS non autorisés pour Google
Des certificats de sécurité ont été émis sans autorisation pour des domaines en HTTPS de Google.
La semaine dernière, Google a révélé un incident qui aurait pu avoir de fâcheuses conséquences. Appartenant au groupe Symantec, l'autorité de certification Thawte a accidentellement émis un " petit nombre " de certificats de sécurité non autorisés.
A priori, ces certificats se destinaient à des tests internes. Non demandés et non autorisés par Google, ils concernaient les domaines google.com et www.google.com. Le cas échéant, des attaquants auraient pu les utiliser pour usurper l'identité de pages Google sécurisées via HTTPS.
La réaction a été rapide et il y a eu manifestement plus de peur que de mal. Dans cette affaire, des employés de Symantec ont perdu leur emploi en raison de leur négligence dans le respect des procédures.
-
Dans la version 50 du navigateur Firefox, Let's Encrypt deviendra une autorité de certification racine de confiance et indépendante. -
L'installation du jailbreak iOS 9.3.3 directement via le navigateur Safari Mobile est bloquée par Apple qui a révoqué le certificat d'entreprise. -
Trend Micro a mis au jour une campagne de malvertising s'appuyant sur un certificat de sécurité gratuit émis par Let's Encrypt.
Vos commentaires