Des certificats SSL frauduleux validés

It’s fucking serious shit ! comme dirait les ricains, pourtant peu de médias français se sont encore penchés sur cet incident.

Jacob Appelbaum du projet TOR sait à quel point les CA (autorités de certification) tiennent un rôle crucial dans la sécurité du web et il a pris l’habitude de suivre les révisions des navigateurs open-source (Chromium & Mozilla) pour voir quels certificats étaient ajoutés à des listes noires ou intégrés comme étant sûr.

Dans un long article il remonte la trace de certificats blacklistés récemment dans les différents browsers pour déterminer quelle est l’étendue du problème car les éditeurs des navigateurs ne sont pas très causant dans les descriptions de révision.

Il s’avérera finalement que certificats sont des certificats qui ont été validés pour des sites comme Google, addons.mozilla.org et les messageries Gmail, Hotmail (Live.com) et Yahoo !

L’autorité de certificat qui a émise ces certificats, Comodo, a publié une annonce officielle indiquant qu’un attaquant a récupéré le compte d’un partenaire de confiance de Comodo (baptisé UserTrust) et transmit les 9 certificats pour 7 domaines différents.

Edit: citation

The compromise occurred at an affiliate authorized to perform primary validation of certificate requests.

L’attaquant serait originaire d’Iran. Avoir des certificats frauduleux valides ne fait pas tout… il faut encore tromper les victimes pour quelles viennent sur les faux sites associés au domaines ce qui laissent supposer que l’attaquant ait aussi les moyens de manipuler ou corrompre des serveurs DNS.

L’exploitation de l’un des certificats a été observé… impossible de savoir si des personnes se sont laissées prendre au piège.

A web survey revealed one of the certificates deployed on another IP address assigned to an Iranian ISP. The server in question stopped responding to requests shortly after the certificate was revoked.

Au vu de la situation en Iran on peut imaginer que ce soit le gov qui soit à l’origine de l’attaque pour identifier les rebels…

Mozilla et Microsoft ont tous les deux émis des advisories pour cet incident.

7 réflexions au sujet de « Des certificats SSL frauduleux validés »

Les commentaires sont fermés.