Google déclare avoir découvert que plusieurs de ses noms de domaine ont été associés à des certificats frauduleux. Les certificats en question auraient été délivrés par un organisme intermédiaire « apparemment » détenu par une société nommée MCS Holdings, basée en Egypte, et mandaté par le registre chinois CNNIC. Exposant aux attaques de type « man-in-the-middle » des échanges utilisant le protocole de sécurisation SSL (Secure Sockets Layer) ou son successeur TLS.
Les certificats frauduleux concernés peuvent avoir été approuvés par « presque tous les navigateurs web et systèmes d’exploitation », explique Google dans un billet de blog publié lundi 23 mars. Mais il existe des exceptions : Chrome (Google) sous Windows, OS X ou Linux, ChromeOS, ainsi que Firefox 33 et ses versions ultérieures, selon Google. La société assure avoir rapidement bloqué le certificat issu de MCS Holdings dans Chrome avec CRLSets, alerté ses concurrents et demandé des comptes au CNNIC (Centre d’information du réseau Internet de Chine).
Le mandataire, MCS Holdings, aurait agi comme un proxy ayant obtenu carte blanche d’une autorité de certification publique, « ce qui constitue une violation grave du système », a affirmé Google. L’entreprise américaine n’hésite pas non plus à faire le parallèle avec l’affaire des certificats corrompus émis par une autorité de certification mandatée par l’Anssi française – l’Agence nationale de la sécurité des systèmes d’information – en 2013.
Lire aussi :
Superfish : Lenovo reconnaît avoir préinstallé un logiciel espion
Les certificats SSL contrefaits étudiés à la loupe
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…