De vrais faux certificats SSL remettent en cause l’intégrité du web

De pirates ont réussi à générer des vrais certificats numériques de domaines populaires tels que Microsoft et Google pour une tentative de fraude à grande échelle. L’Iran est pointée du doigt.

Les sites de Google, Yahoo, Microsoft Live, Mozilla ou encore Skype ont été victimes, il y a une dizaine de jours, de tentatives d’usurpation d’identité. Les attaquants ont obtenu des certificats numériques SSL (secure socket layer) afin de rediriger les internautes vers de faux sites à l’apparence des vrais, le navigateur ne parvenant pas forcément, à la lecture du certificat, à distinguer le faux du vrai serveur web.

« Dans ce cas précis, une attaque a permis à des pirates de se faire passer pour un émetteur de certificats, explique l’éditeur Keynectis spécialisé dans la gestion des identités numérique. Certains systèmes d’exploitation ne vérifiant ni la liste de révocation, ni le protocole de vérification en ligne, les faux certificats générés ont ainsi pu être diffusés sur la toile. » Résultats, les internautes risquaient de se voir pirater leurs identités en livrant leurs données personnelles en toute confiance aux faux sites en questions.

Comment s’y sont pris les pirates pour orchestrer leurs méfaits? En exploitant une faille dans l’autorité d’adressage (root authority) pour ouvrir un compte utilisateur auprès de Comodo, un éditeur américain de solutions d’authentification notamment fournisseur de certificats numériques, et commander neuf certificats pour sept domaines. Dans un communiqué daté du 15 mars, Comodo affirme avoir immédiatement révoqué les certificats en question.

Néanmoins, l’éditeur a constaté que ces faux « passeports numériques » continuaient d’être exploités après la révocation permettant ainsi de tromper les utilisateurs dont les plate-formes (système d’exploitation, navigateur…) ne prenaient pas soin de vérifier ces listes de révocation, comme l’explique Keynectis. Particulièrement le domaine ‘login.yahoo.com’.

Pour Comodo, cette attaque n’est pas le fait de cybercriminels avides de sources pécuniaires mais d’un Etat visant l’infrastructure d’Internet. Et de pointer du doigt le régime iranien. « L’auteur peut utiliser ces certificats uniquement s’il a le contrôle de l’infrastructure DNS [les serveurs de domaines réparties aux quatre coins du globe, NDLR] », justifie l’éditeur qui ajoute que « le gouvernement iranien a récemment attaqué d’autres méthodes de communication protégée par chiffrement ».

Entre la circulation de faux certificats de sites plus vrais que nature et le récent vol d’information sur la solution d’authentification SecurID de RSA, la confiance dans les solutions de sécurisation en prend un sacré coup.