Symantec a vendu de faux certificats Google (sans le savoir)

Via V3 : Thawte, une entreprise de vente de certificats TLS filiale de Symantec a eu la mauvaise surprise de découvrir que certains employés ont vendu de vrais-faux certificats pour des domaines de Google. Les employés auraient agit par manque de sérieux (n’ont pas suivi les règles de sécurité pour s’assurer de l’identité de l’acheteur, … Continuer la lecture de Symantec a vendu de faux certificats Google (sans le savoir) 

Des vrais-faux certificats Google utilisés à la direction générale du Trésor

Via TheRegister et Silicon : Voilà qui fait tache : Google a pris la main dans le sac la Direction Générale du Trésor de chez nous qui émettait des certificats signés par le Trésor et se faisaient passer pour le site de Google. L’ANSSI a déclaré qu’il s’agissait d’une erreur humaine lié à la mauvaise … Continuer la lecture de Des vrais-faux certificats Google utilisés à la direction générale du Trésor 

Des certificats de chez Opera volés

Via NakedSecurity (Sophos) : Coup dur pour la boite norvégienne à l’origine du navigateur Opera : leur réseau a été pénétré dans une attaque ciblé. Les intrus ont pu obtenir de vieux certificats (mais toujours valides) qui ont ensuite été utilisés pour signer des malwares. On en sait pas plus mais cette dernière info laisse … Continuer la lecture de Des certificats de chez Opera volés 

Des hackers volent des certificats à Bit9

KrebsonSecurity indique dans un article que la société Bit9 a été victime d’une intrusion qui a permis aux hackers de récupérer un certificat cryptographique. La société Bit9 développe un logiciel de sécurité qui prend la problématique des antivirus à l’envers : au lieu de bloquer les exécutables selon une liste noire, leur logiciel fonctionne sur … Continuer la lecture de Des hackers volent des certificats à Bit9 

La confiance envers les certificats encore mise à mal

Via TheRegister : Dernièrement on s’est habitué à voir des autorités de certification piratées, des grosses gaffes, des govs qui s’approprient des certificats etc. Cette fois ça va encore plus loin : il n’y a pas eu de piratage mais un certificat valide a été donné à une entreprise fictive brésilienne se faisant appeler Buster … Continuer la lecture de La confiance envers les certificats encore mise à mal 

Des certificats frauduleux créés pour Google.com

Encore un coup dur pour le système de certificats SSL/TLS actuel : Google a détecté dans la journée du 24 décembre l’existence d’un certificat frauduleux pour les domaines *.google.com. En effet ce certificat n’a pas été créé par Google mais est valide dans le sens où il a été créé par une sous-autorité de certification … Continuer la lecture de Des certificats frauduleux créés pour Google.com 

Des certificats Adobe dérobés

Adobe a eu connaissance de l’utilisation de certificats leur appartenant et qui ont servi à signer un exécutable pwdump7 ainsi qu’un filtre ISAPI malicieux (peut-être un passlogger ou un injecteur de code html ?) pour IIS. Adobe a commencé ses investigations et a déjà découvert que l’un de ses serveurs avait été compromis.

Flame : le système de collisions MD5 utilisé pour forger des certificats

Via TheRegister et Microsoft Security R&D : Si vous n’avez pas peur de vous retrouver dans un film de cyber-espionnage style Sneakers, je vous invite à lire l’article de Microsoft qui fait froid dans le dos. Les attaques sur MD5 de type chosen prefix collision attack dont on a parlé précédemment auraient permis de forger … Continuer la lecture de Flame : le système de collisions MD5 utilisé pour forger des certificats