Les certificats SSL de DigiNotar indignes de confiance

[Hinault Romaric]

Certificats SSL de DigiNotar : Microsoft publie un correctif
Et les qualifie d'indignes de confiance


Tous les certificats de sécurités SSL (Secure Socket Layer) de Diginotar seraient désormais peu fiables selon Microsoft suite à une enquête de la société.

L'autorité de certification hollandaise DigiNotar avait été victime récemment d’une attaque revendiquée par le pirate ComodoHacker qui avait entraîné l’émission de faux certificats pour plusieurs sites, dont l’ensemble des sites de Google.

La réaction de Microsoft suite à cette affaire est la publication d’une mise à jour de sécurité pour l’ensemble de ses systèmes d’exploitation Windows (XP, Vista, Seven, Server, etc.).

La firme conclut dans un billet de blog que "les certificats de DigiNotar sont indignes de confiance". Elle place ceux-ci au niveau des certificats non approuvés dans son correctif disponible depuis hier.

Microsoft avait déjà procédé à la suppression des certificats de DigiNator dans sa liste de confiance Microsoft Certificate Trust List (MCTL) utilisée par Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 et Internet Explorer pour valider l'approbation d'une autorité de certification.

La mise à jour de sécurité permet donc de régler ce problème pour les utilisateurs de Windows XP, Windows Server 2003 et les autres applications Windows tierces non protégées.

La mise à jour est disponible dans le monde entier via la fonction de mise à jour automatique de Windows... sauf au Pays-Bas suite à une demande explicite du gouvernement Néerlandais, indique Microsoft (DigiNotar est une autorité de confiance hollandaise qui a publié des certificats pour les institutions de ce pays).

Pour mémoire, plus de 500 certificats SSL frauduleux pouvant induire les internautes en erreur et usurper leur identité auraient été émis par DigiNotar après l’exploitation d'une faille de sécurité par des pirates. Pas moins de 300 000 IP uniques se seraient identifiées à des comptes Google à travers ces certificats falsifiés.

DigiNotar avait gardé le silence sur l'attaque de ses systèmes pendant près de deux mois.


Source : Microsoft

[Inazo]

Bonjour,

Juste :

Citation:

DigiNotar avait gardé le silence sur l'attaque de ses systèmes pendant près de deux mois.

Irréaliste tout simplement, rassurez nous pas ils ont pris des mesures durant ces deux mois

Cordialement,

[ctiti60]

Oui, ils ont pris toutes les mesures pour le cacher le plus longtemps possible

[droggo]

Moa,

Parce que quand Microsoft a des problèmes, ils le crient sur les toits pour mettre tout le monde au courant ...

[sevyc64]

Le problème, en tant qu'autorité de certification, ils l'auraient signalé immédiatement et pris les mesures qui vont bien, ça aurait pû passer. Mais là, que les mesures aient été prises ou pas, de ne pas signaler et de cacher volontairement que leurs certificats peuvent potentiellement être corrompus, fait que l'on ne peut vraiment plus avoir confiance en eux, et justifie de fait l'action de Microsoft.

[droggo]

Lai,

Je ne cherche pas à excuser leur comportement, mais à rappeler que quand ça arrive à d'autres, vous semblez fermer les yeux beaucoup plus facilement.

[Marco46]

Citation:

Envoyé par droggo

Lai,

Je ne cherche pas à excuser leur comportement, mais à rappeler que quand ça arrive à d'autres, vous semblez fermer les yeux beaucoup plus facilement.

Oui mais là on parle d'une autorité de certification. La clef de voûte d'une PKI c'est précisément la confiance. Donc ...

J'espère que la fondation fera la même mise à jour pour ses logiciels.