Discussion :

[Katleen Erna]

Le vol des certificats SSL de Comodo revendiqué par un hacker iranien
Qui affirme avoir « l'expérience de 1 000 hackers »

Mise à jour 30/03/11, par Hinault Romaric

Un hacker iranien âgé de 21 ans, qui se fait appeler ComodoHacker, vient de revendiquer la responsabilité de l'attaque ayant abouti au vol des certificats SSL de divers domaines du groupe Comodo.

Pour mémoire Comodo Group avait annoncé que des faux certificats de sécurité avaient été générés pour Gmail, Google, Youtube ou encore Skype. Après enquête il semblerait que l'attaque provenait bien de l'Iran et qu'elle était motivée par des raisons politiques (lire ci-avant).

Cependant le hacker affirme avoir agi seul et n'aurait aucune liaison avec le gouvernement iranien. « Je ne suis pas un groupe de hacker, je suis un pirate qui a l'expérience de 1 000 hackers. Je suis un simple programmeur mais avec l'expérience de 1 000 programmeurs » écrit-il.

ComodoHacker déclare qu'à la base, il voulait casser un algorithme de sécurité RSA avant de trouver des failles et d'obtenir un accès complet à InstantSSL.it, la filiale italienne de Comodo. Il dit avoir ensuite décompilé un fichier DLL qui lui a permis de récupérer le nom d'utilisateur et les mots de passe d'un revendeur de Comodo.

Avec ces informations, ComodoHacker dit avoir falsifié les neuf certificats de sécurité en 10 à 15 min.

Les raisons des agissements du hacker sont, selon ses affirmations, d'établir « une égalité entre les Etats ». Il cite par exemple le ver Stuxnet qui à touché le nucléaire Iranien qui pour lui aurait été créé et financé par les Etats-Unis et Israël et menace de répondre à toutes les attaques contre son pays « Je ne permettrai à personne de causer des préjudices à mon pays et de nuire à mon président » écrit ComodoHacker.

Un pirate solitaire, donc.

Source : Message de ComodoHacker



Firefox : mise à jour après le vol de certificats SSL
De Comodo, Microsoft pousse son patch dans Windows Update, Chrome sécurisé

Mise à jour du 25/03/11

Après l'annonce officielle par Comodo du vol de certificats SSL et des risques que celui-ci fait peser sur des services populaires comme Gmail, Google, Yahoo ou Skype (lire ci-avant), les principaux éditeurs de navigateurs ont mis à jour leurs produits.

Aujourd'hui c'est au tour de Mozilla de patcher Firefox, dans sa branche 3.6 (qui passe à la version 3.6.16). Une mise à jour hautement recommandée, voire indispensable. Pour mémoire, le tout récent Firefox 4 n'est pas touché.

De son coté Google a déjà mis à jour automatiquement Chrome. Quant à Internet Explorer, le patch est à présent diffusé dans Windows Update. Là encore, si les mises à jour ne sont pas paramétrées pour être automatiques, il est fortement recommandé de sécuriser le navigateur de Microsoft manuellement.

Restent, dans le Top 5 du marché, Opera et Safari. Les correctifs d'Apple et d'Opera Software ne devraient cependant pas tarder à être publiés. En attendant, la prudence est donc de mise.


MAJ de Gordon Fowler



Une attaque en provenance d'Iran a falsifié des certificats SSL et visé divers domaines, dont Gmail, Hotmail et Skype

Comodo Group, autorité de certification délivrant les certificats SSL et représentant 15% de la part de marché aux Etats-Unis, a déclaré que le compte utilisateur de l'un de ses affiliés basé en Europe (RA) a été compromis.

Résultat : de faux certificats de sécurité ont été générés puis propulsés vers six domaines, majoritairement des webmails, dont la plateforme Live de Microsoft, Gmail, Google, Skype, Yahoo, et certaines extensions de Firefox.

Heureusement, l'attaque a vite été découverte et circonscrite. Le pirate était d'ailleurs toujours en train d'utiliser le compte utilisé lorsqu'il fut désactivé.

Après enquête, il semble qu'elle émanait de l'Iran (adresses IP utilisées attribuées par un fournisseur d'accès iranien), et qu'elle était motivée par des visées politiques. En effet, falsifier les certificats SSL peut permettre de tromper un site Web et d'y voler divers contenus dont des informations sensibles (login des comptes), mais aussi d'en espionner les utilisateurs.

Et les services visés, notamment les webmails, pourraient être très utiles dans ce contexte pour un gouvernement qui voudrait surveiller les conversations de ses citoyens, surtout en temps de révolte (comme ce qui se passe actuellement dans les pays d'Afrique du Nord).

D'après le CEO de Comodo, c'est la première fois qu'une attaque d'Etat vise la couche d'authentification de l'Internet.

Plus de précisions ont été apportées par la firme spécialisée en sécurité informatique F-Secure. "Si vous êtes un gouvernement et que vous pouvez contrôler le routage du Net depuis votre pays, vous pouvez tout rediriger, par exemple les utilisateurs de Skype vers une fausse page d'identification et ainsi collecteur leurs mots de passe. Ou alors, vous pouvez lire leurs messages lorsqu'ils se connectent à Yahoo, Gmail ou Hotmail. Et pratiquement aucun d'entre eux ne s'en rendrait compte".

Prudence est donc de mise, mais Comodo a déjà révoqué tous les certificats frauduleux. De son côté, Microsoft a publié un bulletin d'alerte et diffuse un patch (qui actualise la liste des certificats révoqués sur Windows).

Chrome et Firefox (qui utilisent le protocole OCSP - Online Certificate Status Protocole) ont également réagit en plaçant les certificats en liste noire.

Sources : Comodo ; F-Secure ; Microsoft

[bugsan]

Le truc c'est qu'il est tellement facile d'utiliser des proxy SOCKS que je me demande si il est encore pertinent de dire où se situe la machine ...

Et on peut même les chainer (comme dans les films hollywoodiens) donc bon :/

[Gordon Fowler]

Firefox : mise à jour après le vol de certificats SSL
De Comodo, Microsoft pousse son patch dans Windows Update, Chrome sécurisé

Mise à jour du 25/03/11

Après l'annonce officielle par Comodo du vol de certificats SSL et des risques que celui-ci fait peser sur des services populaires comme Gmail, Google, Yahoo ou Skype (lire ci-avant), les principaux éditeurs de navigateurs ont mis à jour leurs produits.

Aujourd'hui c'est au tour de Mozilla de patcher Firefox, dans sa branche 3.6 (qui passe à la version 3.6.16). Une mise à jour hautement recommandée, voire indispensable. Pour mémoire, le tout récent Firefox 4 n'est pas touché.

De son coté Google a déjà mis à jour automatiquement Chrome. Quant à Internet Explorer, le patch est à présent diffusé dans Windows Update. Là encore, si les mises à jour ne sont pas paramétrées pour être automatiques, il est fortement recommandé de sécuriser le navigateur de Microsoft manuellement.

Restent, dans le Top 5 du marché, Opera et Safari. Les correctifs d'Apple et d'Opera Software ne devraient cependant pas tarder à être publiés. En attendant, la prudence est donc de mise.

[sevyc64]

Aujourd'hui c'est au tour de Mozilla de patcher Firefox, dans sa branche 3.6 (qui passe à la version 3.6.16). Une mise à jour hautement recommandée, voire indispensable.

Comment peut se faire cette mise à jour ?

Mon FF3.6 (il me semblait qu'il était déjà à 3.6.16 depuis la semaine dernière, il y a eu 2 maj successives) s'est automatiquement mis à jour en v4.0 sans que je lui demande rien, en début de semaine.

Comment Mozilla fait pour mettre un patch sur les versions 3.6 alors que les mises à jours auto les ont, à priori, déjà fait basculé en 4.0.

[Flaburgan]

L'attaque est revendiquée par un Iranien, d'après Le Monde.

[Roberto125]

Bonjour,

Comodo signe des Certificats SSL non validés, ce qui soulève des questions sur leur fiabilité. Ce n'est pas la première fois.

Les certificats SSL recommandés sont ceux de VeriSign, GlobalSign, thawte, RapidSSL et GeoTrust.

[Hinault Romaric]

Le vol des certificats SSL de Comodo revendiqué par un hacker iranien
Qui affirme avoir « l'expérience de 1 000 hackers »

Mise à jour 30/03/11, par Hinault Romaric

Un hacker iranien âgé de 21 ans, qui se fait appeler ComodoHacker, vient de revendiquer la responsabilité de l'attaque ayant abouti au vol des certificats SSL de divers domaines du groupe Comodo.

Pour mémoire Comodo Group avait annoncé que des faux certificats de sécurité avaient été générés pour Gmail, Google, Youtube ou encore Skype. Après enquête il semblerait que l'attaque provenait bien de l'Iran et qu'elle était motivée par des raisons politiques (lire ci-avant).

Cependant le hacker affirme avoir agi seul et n'aurait aucune liaison avec le gouvernement iranien. « Je ne suis pas un groupe de hacker, je suis un pirate qui a l'expérience de 1 000 hackers. Je suis un simple programmeur mais avec l'expérience de 1 000 programmeurs » écrit-il.

ComodoHacker déclare qu'à la base, il voulait casser un algorithme de sécurité RSA avant de trouver des failles et d'obtenir un accès complet à InstantSSL.it, la filiale italienne de Comodo. Il dit avoir ensuite décompilé un fichier DLL qui lui a permis de récupérer le nom d'utilisateur et les mots de passe d'un revendeur de Comodo.

Avec ces informations, ComodoHacker dit avoir falsifié les neuf certificats de sécurité en 10 à 15 min.

Les raisons des agissements du hacker sont, selon ses affirmations, d'établir « une égalité entre les Etats ». Il cite par exemple le ver Stuxnet qui à touché le nucléaire Iranien qui pour lui aurait été créé et financé par les Etats-Unis et Israël et menace de répondre à toutes les attaques contre son pays « Je ne permettrai à personne de causer des préjudices à mon pays et de nuire à mon président » écrit ComodoHacker.

Un pirate solitaire, donc.

Source : Message de ComodoHacker

[Flaburgan]

Anyway, I know you are really shocked about my knowledge, my skill, my speed, my expertise, that's all OK, all of it was so easy for me, I did more important things I can't talk about, so if you have to worry, you can worry...

Ca va, il est plutôt modeste le bonhomme...

as I live, you don't have privacy in internet, you don't have security in digital world, just wait and see...

Ben voyons.

To microsoft, mozilla and chrome who updated their softwares as soon as instructions came from CIA. You are my targets too.

Et les menaces ciblées :p

[Roberto125]

Bonjour,

ces problèmes de sécurité ne sont pas à prendre à la légère. N'importe qui peut voler des informations dès qu'il s'agit de certificats défectueux ou non correctement vérifiés lors des procédures de vetting, et surtout si ces certificats sont émis par des Autorités de Certification ayant connu d'énormes scandales de sécurité.

Par conséquent, les Autorités de Certification les plus recommandées sont les suivantes:

VeriSign: VeriSign est le leader de la sécurité des réseaux dans le domaine e-business. VeriSign est le plus grand fournisseur de SSL au monde.

GlobalSign: GlobalSign est une Autorité de Certification bien implantée depuis 1996. C'est le fournisseur de Certificats SSL qui connaît la croissance la plus rapide.

Networking4all: La plupart des clients sont des hébergeurs, des fournisseurs Internet et des boutiques e-commerce cherchant un Certificat SSL facile à installer et gérer.

[guidav]

Ca va, il est plutôt modeste le bonhomme...



Ben voyons.



Et les menaces ciblées :p

Chuuut, pas si fort, il va te hacker ton compte développez, ton mail, tes parents et ton grille-pain !

[Golgotha]

Moi aussi je vais dire à mon employeur :

j'ai l'expérience de 1000 programmeurs, donc je veux 1000 fois mon salaire.

[ArKam]

'tain mais en fait le gars se prend pas pour de la merde quoi :s

[kikool0l]

I'm not a group, I'm single hacker with experience of 1000 hacker, I'm single programmer with experience of 1000 programmer, I'm single planner/project manager with experience of 1000 project managers, so you are right, it's managed by 1000 hackers, but it was only I with experience of 1000
hackers.

Ca va les chevilles :o.

[sshpcl2]

j'ai le niveau de mille devellopeur,
je suis iranien
j'ai 21 ans
je te hack n'importe ou n'importe quand je suis je suis ...

[Flaburgan]

Chuck Norris !!

[CAML]

21 ans et ca s'imagine déjà valoir "1000 hackers/programmeurs"... mais il a pas dit lesquels

"OWI LOL J'AI TROUVE UN MOT DE PASSE ET UN LOGIN EN DECOMPILANT UNE DLL, JE VAUX 1000 HACKERS !"

attention les chevilles !

[Virgil Scipion]

Moi ce que je pige pas, c'est comment on peut avoir autant d'expérience sans être mort de vieillesse... ou d'overdose de café

[Golgotha]

En fait, en Chine, la centaines de vrai hackers ce demandent : "Mais c'est qui ce con ?"

[TerPerEyeST]

C'est un génie en tout cas, et je suis pour, il a une bonne cause...

If Privacy is outlawed, only outlaws will have privacy

Donc, son exploit se base sur cette citation. On ne fait que nous surveiller, on veut avoir un minimum de liberté !

[StreamEarth]

Hello,

même si c'est 5 ans après, je suis tombé sur ce sujet par hasard, m'intéressant aux certificats SSL j'ai une question qui me perturbe :
Comment il pouvait usurper le domaine "mail.yahoo.fr" par exemple pour l'utiliser sur son site pirate : un certificat SSL n'est-il pas censé ne fonctionner que sur son sous-domaine ou domaine (via wildcard) yahoo.fr ?

Ou alors les articles relatant de se sujet cite mal le propos :

Résultat : de faux certificats de sécurité ont été générés puis propulsés vers six domaines, majoritairement des webmails, dont la plateforme Live de Microsoft, Gmail, Google, Skype, Yahoo, et certaines extensions de Firefox.

Car ici le pirate n'a aucunement piraté les serveurs directs de Yahoo ou Skype etc.

L'hypothèse la plus juste et probable (cité nul part) serait : création du certificat SSL au nom de "Yahoo" mais pour le (sous) domaine pirate qui plagie le site internet en question... la citation "propulsé vers six domaines" porte la confusion qu'il aurait piraté les 6 domaines...

D'où l'importance, on ne le rappellera jamais assez : de toujours contrôler dans la barre d'adresse qu'on accède bien au véritable site et qu'on ne se retrouve pas à une adresse ressemblante... certifié SSL ou non...