Faux certificat SSL: Chrome et Firefox révoquent DigiNotar

Firefox vient de passer en version 6.0.1, y compris la version mobile, (et 3.6.21 pour la branche antérieure) et Chrome en 13.0.782.218 pour la version stable (14.0.835.122 pour la bêta et 15.0.865.1000 pour la Dev) pour Windows, Mac OS X et Linux. Ces mises à jour vise à protéger les internautes du faux certificat SSL émis par DigiNotar pour le domaine *.google.com.

Ce certificat frauduleux permettait de tromper les navigateurs, donc les utilisateurs adeptes des services de Google dont Gmail, en légitimant l’autorité d’un site illégitime. Des tentatives d’attaques qualifiées de man in the middle (MITM). Emis le 10 juillet, DigiNotar n’a révoqué son faux passeport numérique que le 29 août dernier. Les principales victimes (ou cibles) du faux certificat sont localisées en Iran, selon Google.

Malgré la révocation du certificat écartant normalement tout danger (son exploitation n’étant plus permise), Mozilla et Google ont préféré renforcer la sécurité de leur navigateur en désactivant l’autorité de certification. Radical. Les butineurs ont en effet parfois tendance à conserver les certificats en « oubliant » de vérifier la liste des révocations.

Google profite de la nouvelle version de Chrome pour faire une mise du plugin Flash intégré au navigateur. De son côté, Mozilla a également mis à jour son client de messagerie Thunderbird qui passe en version 6.0.1 ainsi que la suite SeaMonkey (en 2.3.2). La mise à niveau doit se faire automatiquement. Si ce n’est pas encore le cas, n’hésitez pas à forcer la mise à jour en activant leur vérification depuis le choix «A propos de Firefox/Thunderbird» dans le menu Aide.

De son côté, Microsoft se contente d’émettre une alerte de sécurité et annonce avoir retiré le certificat racine de DigiNotar de sa Microsoft Certificate Trust List (MCTL). Toutes les plates-formes Windows sont concernées sauf la version mobile Windows Phone 7.