En publiant Firefox 3.6.16, Mozilla a indiqué placer en liste noire des certificats HTTPS, soulignant qu'il ne s'agissait pas d'un problème spécifique à Firefox. Une telle mise à jour ( effective dans Firefox 4 ) a plus discrètement été ajoutée dans Google Chrome. Depuis hier, Microsoft diffuse une mise à jour via Windows Update.

Le pourquoi de ces mises à jour s'explique par le fait que le 15 mars dernier, des certificats SSL ont été volés à l'autorité de certification Comodo. Un certificat SSL est utilisé pour prouver qu'un site est légitime. Avec un certificat frauduleux, un cybercriminel peut par exemple mettre en place un faux site Web afin de récupérer les identifiants d'un utilisateur.

Plus précisément, un attaquant a obtenu l'identifiant et le mot de passe d'un partenaire de Comodo ( Comodo Trusted Partner ) en Europe du Sud. D'autres comptes en ligne de ce même partenaire ont été compromis. L'attaquant a utilisé ces données pour générer des certificats frauduleux.

En l'occurrence, il s'agit de neuf certificats SSL et pas des moindres avec notamment mail.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, global trustee. Seul un certificat relatif à login.yahoo.com a été repéré sur Internet. Selon Comodo, dès que la brèche a été découverte, tous les certificats concernés ont été révoqués. Pour plus de sécurité, mieux vaut néanmoins procéder aux mises à jour proposées par les éditeurs de navigateurs.

D'après le travail d'investigation de Comodo, la trace de l'attaque a été remontée jusqu'en Iran. Même si les pistes ont pu être volontairement brouillées, plusieurs indices font croire à Comodo que l'attaque est l'œuvre du gouvernement iranien.