Google victime d'un faux certificat numérique

Une nouvelle fois, l’émission d’un faux certificat numérique trompe les navigateurs et remet en question l’intégrité du web et des applications en ligne. Dont Gmail.

L’intégrité du Web est une nouvelle fois remise en question. Le 10 juillet 2011, un faux certificat pour les noms de domaine en « *google.com » de Google, dont « gmail », a été délivré par DigiNotar. Considéré comme une autorité dans ce domaine, ce fournisseur de services Internet d’origine néerlandaise a émis un certificat biaisé d’authentification de norme X.509 pour plusieurs noms domaines de Google (en « google.com »). Dès lors, des utilisateurs ont pu se connecter à des sites Internet identifiés comme authentiques (notamment le service de messagerie Gmail), la présentation du certificat faisant foi, explique ITespresso.fr. Or ces sites n’appartiennent pas à Google. Leurs identités ont été usurpées. Un bon moyen de d’obtenir identifiants et mots de passe des internautes, notamment.

Cette affaire n’est pas sans rappeler celle qui avait frappé Comodo en mars dernier. Ce fournisseur de certificats numériques s’était vu usurper neuf passeports du web pour sept domaines dont ceux de Microsoft, Yahoo, Google, Skype ou encore Mozilla.

Si les certificats sont rapidement révoqués, il faut garder à l’esprit que certains navigateurs ne vérifient pas la liste de révocation. Ils peuvent continuer donc de considérer la connexion au serveur comme sûre. C’était le cas de la déclinaison du navigateur Chrome sous Linux.

Comme dans l’affaire Comodo, il s’agirait cette fois d’un hacker iranien à l’origine de la commande de ce certificat. Google a d’ores et déjà fait savoir qu’elle révoquait ce certificat émis par DigiNotar comme un préalable à une enquête plus fouillée. En l’état, il est toutefois difficile de savoir quels ont pu être les dégâts causés par ce faux vrai certificat émis par DigiNotar.

Si l’on remonte la chaîne des responsabilités éventuelles, on constate que DigiNotar a été acquise par Vasco Data Security en janvier. Or, l’autorité racine de Vasco est ni plus ni moins que VeriSign. Le même fournisseur de services Internet qui avait déjà délégué l’édition de certificats numériques à Comodo. C’est donc toute la chaîne de confiance de délégation des certificats numériques qui est mise à mal.

VeriSign avait déjà été déstabilisé indirectement à travers la collaboration ouverte avec le spécialiste de la sécurité IT RSA. En effet, on se souvient que le système d’authentification forte SecurID de la firme de Bedford (Massachusetts) avait perdu de son intégrité suite à un courriel « piégé ». Ce qui avait permis à des hackers d’en connaître certains méandres censés rester secrets.

En filigrane, c’est toute la surcouche SSL (Secure Sockets Layer, protocole de sécurisation des échanges sur Internet) qui est pointée du doigt. Celle-ci s’intercale entre la couche transport et la couche applicative du modèle OSI lui-même vieux de 30 ans. Peut-être qu’une révision s’impose.

Lire aussi : Authentification forte : l’alliance FIDO certifie une nouvelle vague d’experts