Pour gérer vos consentements :
Categories: Sécurité

Google victime d’un faux certificat numérique

L’intégrité du Web est une nouvelle fois remise en question. Le 10 juillet 2011, un faux certificat pour les noms de domaine en « *google.com » de Google, dont « gmail », a été délivré par DigiNotar. Considéré comme une autorité dans ce domaine, ce fournisseur de services Internet d’origine néerlandaise a émis un certificat biaisé d’authentification de norme X.509 pour plusieurs noms domaines de Google (en « google.com »). Dès lors, des utilisateurs ont pu se connecter à des sites Internet identifiés comme authentiques (notamment le service de messagerie Gmail), la présentation du certificat faisant foi, explique ITespresso.fr. Or ces sites n’appartiennent pas à Google. Leurs identités ont été usurpées. Un bon moyen de d’obtenir identifiants et mots de passe des internautes, notamment.

Cette affaire n’est pas sans rappeler celle qui avait frappé Comodo en mars dernier. Ce fournisseur de certificats numériques s’était vu usurper neuf passeports du web pour sept domaines dont ceux de Microsoft, Yahoo, Google, Skype ou encore Mozilla.

Si les certificats sont rapidement révoqués, il faut garder à l’esprit que certains navigateurs ne vérifient pas la liste de révocation. Ils peuvent continuer donc de considérer la connexion au serveur comme sûre. C’était le cas de la déclinaison du navigateur Chrome sous Linux.

Comme dans l’affaire Comodo, il s’agirait cette fois d’un hacker iranien à l’origine de la commande de ce certificat. Google a d’ores et déjà fait savoir qu’elle révoquait ce certificat émis par DigiNotar comme un préalable à une enquête plus fouillée. En l’état, il est toutefois difficile de savoir quels ont pu être les dégâts causés par ce faux vrai certificat émis par DigiNotar.

Si l’on remonte la chaîne des responsabilités éventuelles, on constate que DigiNotar a été acquise par Vasco Data Security en janvier. Or, l’autorité racine de Vasco est ni plus ni moins que VeriSign. Le même fournisseur de services Internet qui avait déjà délégué l’édition de certificats numériques à Comodo. C’est donc toute la chaîne de confiance de délégation des certificats numériques qui est mise à mal.

VeriSign avait déjà été déstabilisé indirectement à travers la collaboration ouverte avec le spécialiste de la sécurité IT RSA. En effet, on se souvient que le système d’authentification forte SecurID de la firme de Bedford (Massachusetts) avait perdu de son intégrité suite à un courriel « piégé ». Ce qui avait permis à des hackers d’en connaître certains méandres censés rester secrets.

En filigrane, c’est toute la surcouche SSL (Secure Sockets Layer, protocole de sécurisation des échanges sur Internet) qui est pointée du doigt. Celle-ci s’intercale entre la couche transport et la couche applicative du modèle OSI lui-même vieux de 30 ans. Peut-être qu’une révision s’impose.

Crédit photo : © rudybaby – Fotolia.com

Recent Posts

Budget 2023 : la part belle au numérique ?

Formation cyber, très haut débit, identité numérique régalienne... Quelle place pour le numérique au budget…

4 heures ago

Stéphanie Schaer : la nouvelle patronne de la Dinum en 5 dates

De Bercy à la « période Borne », focus sur cinq moments qui ont jalonné…

9 heures ago

Lenovo : quand le DSI et le CTO s’alignent

L'alignement de responsabilités techniques fait partie des leviers activés par Lenovo pour affronter les soubresauts…

1 jour ago

SD-WAN : 10 marqueurs de reconfiguration du marché

NaaS, SD-Branch, performance applicative, « internet amélioré »... Lumière sur quelques tendances actuelles et futures…

1 jour ago

SD-WAN : qui sont ces fournisseurs qui « creusent l’écart » ?

Sur les quelque 70 fournisseurs SD-WAN qu'il a dans ses radars, Gartner en distingue une…

1 jour ago

Cloud collaboratif : UCaaS, CCaaS et CPaaS d’abord

Les entreprises investissent toujours plus la collaboration en mode cloud. Microsoft et Cisco dominent. Zoom…

1 jour ago