IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un certificat SSL frauduleux pour les domaines de Google identifié


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 792
    Points
    148 792
    Par défaut Un certificat SSL frauduleux pour les domaines de Google identifié
    L'autorité de certification DigiNotar en banqueroute
    Et sera liquidée, conséquence de la déroute ComodoHacker

    Mise à jour du 21 septembre 2011 par Idelways


    De sa propre initiative, le groupe américain VASCO Data Security International vient de placer en banqueroute sa subsidiaire Hollandaise DigiNotar, l'autorité de certification accusée de manquement grave à la sécurité après la déroute ComodoHacker.

    Le dépôt de cette procédure a eu lieu le 19 septembre auprès de la cour du district d'Haarlem au pays bas. La banqueroute a été prononcée le lendemain et un syndic de faillite prendra en main la gestion de l'entreprise et sa liquidation, sous le contrôle du juge chargé de l'affaire.

    Pour mémoire, des hackers se sont infiltrés dans les systèmes de sécurité de DigiNotar, et ont réussi à falsifier les certificats de sécurité destinés à Google et à d'autres cibles majeures (pour plus de détails, lire ci-avant)

    Mais c'est sa gestion de cette crise qui a fait de DigiNotar un paria de la sécurité auprès des éditeurs de navigateurs et systèmes d'exploitation. On lui reproche dans les faits deux torts : le manquement scandaleux à la sécurité pour un système de cette criticité, et l'attente incompréhensible avant de mettre au grand jour la débâcle encaissée.

    DigiNotar a en effet commencé à révoquer les certificats frauduleux le 19 juin, mais ne l'a fait pour les domaines *.google.com qu'à partir du 29. De plus, cette affaire n'a vraiment éclaté qu'un mois plus tard laissant une énorme brèche de sécurité miner les navigateurs et les données personnelles des utilisateurs.

    T. Kendall Hunt, président et responsable exécutif de VASCO assure dans l'annonce de la pétition volontaire pour banqueroute que « l'incident à DigiNotar n'a aucun impact sur la technologie d'authentification de VASCO et DigiNotar restera complètement séparée ».

    Le haut responsable a par ailleurs signalé que son entreprise coopérera entièrement avec les autorités hollandaises dans ses investigations pour retrouver les responsables de cette attaque.


    Source : Vasco



    SSL : ComodoHacker revendique l'attaque contre DigiNotar
    Et prétend tenir quatre autres autorités de certification à sa merci

    Mise à jour du 6 septembre 2011 par Idelways


    Le pirate responsable de l'attaque ayant compromis les certificats de sécurités SSL de Diginotar (utilisés entre autres par l'ensemble des sites Google) serait le même qui s'en était pris au mois de mars dernier aux certificats du groupe Comodo.

    ComodoHacker, cet étudiant hacker iranien de 21 ans revendique aujourd'hui sa nouvelle attaque contre Diginotar sur le même compte anonyme Pastebin qui avait servi dans l'affaire Comodo.

    Dans son texte fortement empreint de ressentiment idéologique, il menace de s'en prendre à nouveau à la Hollande (siège de DigiNotar, l'autorité de certification attaquée) pour une affaire qui remonte à la guerre de Bosnie-Herzégovine.

    Il accuse en effet le gouvernement hollandais d'avoir contribué au massacre de Srebrenica en livrant 8000 réfugiés bosniaques aux forces serbes contre 30 soldats hollandais en 1995.

    À la manière d'un teaser de film d'espionnage, ComodoHacker promet de publier prochainement des détails hautement critiques des techniques qui lui ont permis de trouver des mots de passe de DigiNotar, d’obtenir des privilèges dans des systèmes « entièrement patchés et à jour », de surpasser leur « nCipher NetHSM, leurs clés hardware, leur gestionnaire de certificat RSA » et à infiltrer au final un réseau interne CERT qui n'aurait « AUCUNE connexion à Internet ».

    Il promet aussi d'expliquer comment il avait réussi à obtenir une connexion à un bureau distant alors que les pares-feu bloquaient tous les ports hormis les 80 et 443, et ne permettaient aucune connexion VNC, qu'elle soit directe ou inversée.

    « Et bien d'autres » ! ComodoHacker conclut par la révélation non encore prouvée qu'il détient l'accès aux systèmes d'information de quatre autres autorités de certification. Autant de brèches qu'il pourrait utiliser à tout moment pour créer de nouveaux certificats compromis.

    Plus de 500 certificats SSL frauduleux auraient été émis par DigiNotar après que la brèche de ComodoHacker ait été exploitée. Un rapport signé Fox-IT, la firme qui audite la sécurité de DigiNotar, présume que pas moins de 300 000 IP uniques se seraient identifiées à des comptes Google à travers ces certificats falsifiés.

    Cela signifie concrètement que toute communication entre les services de Google et ces utilisateurs aurait pu être interceptée et lue en clair.


    Source : compte Pastebin de ComodoHacker, rapport de Fox-IT

    Et vous ?

    Qu'en pensez-vous ?



    Certificat SSL frauduleux : l'affaire touche plus de sites que ceux de Google
    L'autorité de confiance dit avoir été victime d'une attaque en juillet

    Mise à jour du 31/08/11


    L'affaire du certificat frauduleux émis par l'autorité de confiance hollandaise DigiNotar (lire ci-avant) pourrait toucher plus de sites qu’initialement annoncé.

    Dans un premier temps, Google avait déclaré que ses sites étaient exposés. Mais une analyse du code source de la prochaine version de Chrome (mise à jour pour répondre à la menace créée par ce vrai-faux certificat) montre que plusieurs centaines de sites ont été ajoutés à la liste noire du navigateur. Un commentaire de l'équipe de développement ne laisse pas de doute sur le lien avec l'affaire DigiNotar, même si ces ajouts n'en sont pas nécessairement tous la conséquence.

    De son côté, l'autorité de confiance a publié un communiqué dans lequel elle explique avoir été victime d'une attaque, le 19 juillet dernier. « DigiNotar a détecté une intrusion dans son infrastructure CA (Certificate Authority), ce qui a abouti à l'émission frauduleuse de demandes de certificats pour un certain nombre de domaines, y compris Google.com. Une fois l'intrusion détectée, DigiNotar a agi conformément à toutes les règles et procédures en vigueur. »

    En clair, en révoquant ces certificats. Problème, leur nombre reste confidentiel.

    Ce que l'on sait en revanche, c'est qu'un d'entre eux (au moins) a échappé à la procédure. « [Après l'attaque], un audit de sécurité externe a conclu que tous les certificats émis frauduleusement avaient été révoqués. Récemment, nous avons découvert qu'au moins un faux certificat ne l'avait pas été. Après avoir été prévenu par l'organisation gouvernementale Govcert, DigiNotar a pris des mesures immédiates et a révoqué ce certificat frauduleux ».

    Dont on ne sait pas s'il s'agit de celui des domaines de Google ou d'un autre.

    DigiNotar n'explique pas non plus pourquoi il n'a pas prévenu les éditeurs de navigateurs après l'attaque.

    Source : Communiqué de DigiNotar et Chromium Code Reviews

    MAJ de Gordon Fowler


    Un certificat SSL frauduleux vise les domaines de Google
    Vers une remise en cause du système de certification ?


    Cela fait désordre. L'autorité de certification DigiNotar a émis un vrai-faux certificat qui permet des attaques de type « man in the middle » sur tous les sites du domaine de Google.

    DigiNotar, société hollandaise, n'a pas encore fait savoir si la publication de ce certificat a été faite suite à une demande mal vérifiée ou après une attaque.

    Ce certificat SSL frauduleux a été identifié hier et immédiatement révoqué par Google. Mais selon l'Electronic Frontier Foundation, la situation durerait depuis environ deux mois.

    Concrètement, la ou les personnes en possession de ce certificat peuvent monter un faux site de type Gmail ou Google Docs, et s'authentifier comme étant les originaux auprès des navigateurs. L'utilisateur rentre alors identifiants, mots de passe, ou toute autre information confidentielle, croyant être sur un site sécurisé.

    On en sait pour l'instant assez peu sur l'étendue et l'origine de cette attaque (qui a récupéré ce certificat ?). « Les personnes touchées sont principalement localisées en Iran », croit cependant savoir Google.

    Toujours est-il qu'après l'affaire Comodo, c'est tout le protocole SSL qui tremble sur ses fondations. Le système reposant sur des autorités de certifications, qui ont montré par deux fois qu'elles étaient loin d'être infaillibles.

    L'EFF va même plus loin en affirmant que sur la centaine d'autorités, plusieurs ont également été dupées. « Donc, il y a peut-être d'autres certificats comme celui-ci dans la nature dont nous ne savons rien. Cela signifie que presque tous les utilisateurs d'Internet sont encore vulnérables à ce genre d'attaques ».

    Mozilla a d'ores et déjà révoqué en bloc tous les certificats de DigiNotar. Google lui emboîtera le pas dans une prochaine mise à jour de Chrome. Les autres acteurs du marché devraient suivre.

    Source : Google, EFF, Mozilla


    Et vous ?

    Pensez-vous que le système derrière le SSL vacille ?
    Si oui, quelle alternative y voyez-vous ?

  2. #2
    Expert éminent
    Avatar de Michaël
    Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    juillet 2003
    Messages
    3 497
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : juillet 2003
    Messages : 3 497
    Points : 8 201
    Points
    8 201
    Par défaut
    Tout est basé sur la confiance... c'est dire si c'est fiable avec un nombre conséquent d'autorités dites de confiance

  3. #3
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 792
    Points
    148 792
    Par défaut
    Certificat SSL frauduleux : l'affaire touche plus de sites que ceux de Google
    L'autorité de confiance dit avoir été victime d'une attaque en juillet

    Mise à jour du 31/08/11


    L'affaire du certificat frauduleux émis par l'autorité de confiance hollandaise DigiNotar (lire ci-avant) pourrait toucher plus de sites qu’initialement annoncé.

    Dans un premier temps, Google avait déclaré que ses sites étaient exposés. Mais une analyse du code source de la prochaine version de Chrome (mise à jour pour répondre à la menace crée par ce vrai-faux certificat) montre que plusieurs centaines de sites ont été ajoutés à la liste noire du navigateur. Un commentaire de l'équipe de développement ne laisse pas de doute sur le lien avec l'affaire DigiNotar, même si ces ajouts n'en sont pas nécessairement tous la conséquence.

    De son côté, l'autorité de confiance a publié un communiqué dans lequel elle explique avoir été victime d'une attaque, le 19 juillet dernier. « DigiNotar a détecté une intrusion dans son infrastructure CA (Certificate Authority), ce qui a abouti à l'émission frauduleuse de demandes de certificats pour un certain nombre de domaines, y compris Google.com. Une fois l'intrusion détectée, DigiNotar a agi conformément à toutes les règles et procédures en vigueur. »

    En clair, en révoquant ces certificats. Problème, leur nombre reste confidentiel.

    Ce que l'on sait en revanche, c'est qu'un d'entre eux (au moins) a échappé à la procédure. « [Après l'attaque], un audit de sécurité externe a conclu que tous les certificats émis frauduleusement avaient été révoqués. Récemment, nous avons découvert qu'au moins un faux certificat ne l'avait pas été. Après avoir été prévenu par l'organisation gouvernementale Govcert, DigiNotar a pris des mesures immédiates et a révoqué ce certificat frauduleux ».

    Dont on ne sait pas s'il s'agit de celui des domaines de Google ou d'un autre.

    DigiNotar n'explique pas non plus pourquoi il n'a pas prévenu les éditeurs de navigateurs après l'attaque.

    Source : Communiqué de DigiNotar et Chromium Code Reviews

  4. #4
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2008
    Messages
    6
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2008
    Messages : 6
    Points : 10
    Points
    10
    Par défaut
    c'est tout le protocole SSL qui tremble sur ses fondations
    Ah, ces journalistes...
    Il faudrait peut-être relativiser un petit peu non ?

    Doit-on remettre en cause le système de carte d'identité parce qu'il n'est pas infaillible (faux papiers, usurpation d'identité etc..) ?
    Doit-on remettre en cause le système monétaire parce qu'il existe des faussaires ?
    Doit-on remettre en cause le système de paiement des impôts en ligne du fait qu'il soit susceptible d'être hacké ?

    Les journalistes et leurs annonces à sensations, c'est peut-être ça qu'il faudrait remettre en cause ...

  5. #5
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2006
    Messages : 636
    Points : 745
    Points
    745
    Par défaut
    Il n'empêche qu'une "autorité de confiance" en qui on ne peut pas avoir confiance (je ne parle pas que de sa sécurité, mais également de sa transparence), c'est un peu paradoxal.

  6. #6
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 619
    Points
    2 619
    Par défaut
    Et pourtant, tu as confiance en ta banque, je suppose... Si tu me réponds non, j'espère que ton matelas est bien gardée...

    De toute façon, que tu n'aies pas confiance en un tiers ne remet pas en cause le système que ce tiers utilise.

    Je rejoins assez l'avis de PulsarBlow personnellement.

    Le problème n'est pas de savoir si on peut ou pas avoir une confiance aveugle, mais de savoir s'il est préférable d'utiliser ce tiers ou pas.
    En l'occurrence, ça veut dire, le web est-il moins sécurisé en utilisant les certificats de DigiNotar ou l'est-il plus, malgré que certains puissent avoir été détournés?
    Ma réponse est claire et évidente: les certificats SSL sont un plus dans la longue chaîne de la sécurité, mais ce n'est pas l'arme absolue.
    Si je vais sur un site dont l'URL affiche https://sitealacon.google.fr ou une quelconque fumisterie dans le style, il est évident que je n'y rentrerai pas mes identifiants malgré le https et l'absence d'avertissement donné par mon navigateur.
    D'ailleurs, je ne donnerai jamais d'identifiants en suivant un lien par mail si je ne m'attendais pas a recevoir ce mail 5min avant de le lire.

    Après, vous pouvez arguer que le DNS spoofing existe, et c'est aussi vrai.
    Mais combien de chances ai-je que le mail que j'attendais, qui bien souvent rappelle l'action que j'ai effectuée pour qu'il me soit envoyé, contienne un lien vers une adresse volée avec un faux SSL? Peu. Mais toujours pas inexistante.
    Si un jour je me fais attraper malgré tout, je ne dirai pas pour autant qu'il faut remettre en question le système de DNS, le système SSL et mon fournisseur de mails...

  7. #7
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2006
    Messages : 636
    Points : 745
    Points
    745
    Par défaut
    Citation Envoyé par Freem Voir le message
    Et pourtant, tu as confiance en ta banque, je suppose... Si tu me réponds non, j'espère que ton matelas est bien gardée...
    Il faut dire que je n'ai pas vraiment le choix d'avoir ou non une banque. Et je j'insistais sur le nom "autorité de confiance"

    Citation Envoyé par Freem Voir le message
    Mais combien de chances ai-je que le mail que j'attendais, qui bien souvent rappelle l'action que j'ai effectuée pour qu'il me soit envoyé, contienne un lien vers une adresse volée avec un faux SSL? Peu. Mais toujours pas inexistante.
    Ça ne t'arrive jamais de te connecter directement à un service Google ?

  8. #8
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 619
    Points
    2 619
    Par défaut
    Le seul truc de google que j'utilise (et encore, de moins en moins) c'est le moteur de recherche.
    Mais je sais que ce n'est pas la vraie question.

    Les sites sur lesquels je suis inscrit, je m'y connecte au travers de mes favoris, ce qui équivaut à saisir l'URL. (donc, je m'expose potentiellement au DNS spoofing , ce que je disais)
    Pas par un lien qu'on me fourgue par un mail.

  9. #9
    Expert confirmé
    Avatar de Thes32
    Homme Profil pro
    Développeur PHP, .Net, T-SQL
    Inscrit en
    décembre 2006
    Messages
    2 379
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur PHP, .Net, T-SQL

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 379
    Points : 4 850
    Points
    4 850
    Par défaut
    Pour ceux qui ne savent comment supprimer une autorité non digne de confiance sous firefox Mozilla a rapidement publier un blogpost dessus : Deleting the DigiNotar CA certificate
    Développeur | Zend Certified Engineer

    Étapes Pour mieux se servir du forum:
    1. Commencez par lire les cours et tutoriels ;
    2. Faites une recherche;
    3. Faites un post si rien trouvé dans les deux étapes précédentes en respectant les règles;

    Nix>_Rien n'est plus pratique que la théorie

  10. #10
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2006
    Messages : 636
    Points : 745
    Points
    745
    Par défaut
    Ou alors, si vous êtes sur Debian (ou une distribution dérivée) :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $ sudo dpkg-reconfigure ca-certificates

  11. #11
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 363
    Points
    19 363
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Toujours est-il qu'après l'affaire Comodo, c'est tout le protocole SSL qui tremble sur ses fondations. Le système reposant sur des autorités de certifications, qui ont montré par deux fois qu'elles étaient loin d'être infaillibles.

    L'EFF va même plus loin en affirmant que sur la centaine d'autorités, plusieurs ont également été dupées. « Donc, il y a peut-être d'autres certificats comme celui-ci dans la nature dont nous ne savons rien. Cela signifie que presque tous les utilisateurs d'Internet sont encore vulnérables à ce genre d'attaques ».

    Mozilla a d'ores et déjà révoqué en bloc tous les certificats de DigiNotar. Google lui emboîtera le pas dans une prochaine mise à jour de Chrome. Les autres acteurs du marché devraient suivre.

    Pensez-vous que le système derrière le SSL vacille ?
    Si oui, quelle alternative y voyez-vous ?
    C'est pas SSL le fond du truc c'est la cryptographie asymétrique.

    Pas de crypto asymétrique = pas de commerce en ligne. Donc bon ... C'est pas près de vaciller cette histoire.

    Le problème ici c'est plutôt le type d'architecture associée à la crypto asymétrique à savoir X.509 qui débouche sur la création d'autorités de certifications qui sont des entreprises (dont on peut le constater sur pièce, le comportement n'est pas de confiance) et GPG qui laisse à l'utilisateur le contrôle total du bouzin mais qui lui demande plus de travail en retour.

    A ma connaissance, les navigateurs et serveurs web ne supportent pas encore GPG pour faire du TLS ce qui semble logique puisque la RFC définissant cette ajout au TLS est sorti il y a pas longtemps.

    Ceci dit, qu'est ce qui empêche Mozilla de monter sa propre autorité ? Et Google ?
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  12. #12
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 507
    Points
    68 507
    Par défaut
    SSL : ComodoHacker revendique l'attaque contre DigiNotar
    Et prétend tenir quatre autres autorités de certification à sa merci

    Mise à jour du 6 septembre 2011 par Idelways


    Le pirate responsable de l'attaque ayant compromis les certificats de sécurités SSL de Diginotar (utilisés entre autres par l'ensemble des sites Google) serait le même qui s'en était pris au mois de mars dernier aux certificats du groupe Comodo.

    ComodoHacker, cet étudiant hacker iranien de 21 ans revendique aujourd'hui sa nouvelle attaque contre Diginotar sur le même compte anonyme Pastebin qui avait servi dans l'affaire Comodo.

    Dans son texte fortement empreint de ressentiment idéologique, il menace de s'en prendre à nouveau à la Hollande (siège de DigiNotar, l'autorité de certification attaquée) pour une affaire qui remonte à guerre de Bosnie-Herzégovine.

    Il accuse en effet le gouvernement hollandais d'avoir contribué au massacre de Srebrenica en délivrant 8000 réfugiés bosniaques aux forces serbes contre 30 soldats hollandais en 1995.

    À la manière d'un teaser de film d'espionnage, ComodoHacker promet de publier prochainement des détails hautement critiques des techniques qui lui ont permis de trouver des mots de passe de DigiNotar, d’obtenir des privilèges dans des systèmes « entièrement patché et à jour », de surpasser leur « nCipher NetHSM, leurs clés hardware, leur gestionnaire de certificat RSA » et à infiltrer au final un réseau interne CERT qui n'aurait « AUCUNE connexion à Internet ».

    Il promet aussi d'expliquer comment avait-il réussi à obtenir une connexion à un bureau distant alors que les pare-feu bloquaient tous les ports hormis les 80 et 443, et ne permettait aucune connexion VNC, qu'elle soit directe ou inversée.

    « Et bien d'autres », conclu ComodoHacker ses révélations par la révélation non encore prouvé qu'il détient accès aux systèmes d'information de quatre autres autorités de certifications. Autant de brèches qu'il pourrait utiliser à tout moment pour créer de nouveaux certificats compromis.

    Plus de 500 certificats SSL frauduleux auraient été émis par DigiNotar après que la brèche de ComodoHacker ait été perpétuée. Un rapport signé Fox-IT, la firme qui audite la sécurité de DigiNotar, présume que pas moins de 300 000 IP uniques se seraient identifiés à des comptes Google à travers ces certificats falsifiés.

    Cela signifie concrètement que toute communication entre les services de Google et ces utilisateurs aurait pu être interceptée et lue en claire.


    Source : compte Pastebin de ComodoHacker, rapport de Fox-IT

    Et vous ?

    Qu'en pensez-vous ?

  13. #13
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 261
    Points : 658
    Points
    658
    Par défaut
    Ça ferait un (bon ?) roman d'espionnage.

    Après le très compliqué stuxnet, probablement réalisé par une équipe de professionnels, on dirait bien que la "contre attaque" vient d'un simple étudiant.

    En tout cas le rapport de Fox-IT semble tout à fait confirmer que les deux attaques sont du même auteur. Reste à savoir si ce n'est pas les services secrets iraniens qui ont inventé le personnage de ComdoHacker. En tout cas, si c'est une vraie personne, il est très bien endoctriné par le régime en place, cf la signature "I will sacrifice my soul for my leader".

    Mais s'ils sont plusieurs, alors ils tiennent à ce que ComodoHacker ressemble un peu à un branquignol :
    it is so unusual like greater than sign in all programming languages is "<" but in XUDA it is "{"
    Toujours d'après Fox-IT, l'attaque a été un succès. En gros il a eu le mot de passe admins du domaine windows dans lequel se trouvait les principaux serveurs. Autant dire qu'il a pu faire ce qu'il voulait. Les certificats semble avoir été utilisés par des hackers iraniens.

    Sur le plan techniques, il aurait utilisé des outils classiques, mais il aurait aussi fait des programmes et des scripts dédiés, certains donnant une impression d'amateurisme, d'autres étant très avancés. Les défenses de DigiNotar semblait en tout cas insuffisantes (Pas d'anti-virus sur les serveurs, un seul login/mot de passe permettant l'accès à de multiples serveurs, les serveurs exposés sur le réseaux pas forcément à jour...).

  14. #14
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    août 2011
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 8
    Points : 9
    Points
    9
    Par défaut
    Je voudrais juste demander pourquoi, en anglais il y a écrit :

    8000 muslims

    Et en Français :

    8000 réfugies bosniaques

    Problème dans la traduction ?

  15. #15
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 507
    Points
    68 507
    Par défaut
    L'autorité de certification DigiNotar en banqueroute
    Et sera liquidée, conséquence de la déroute ComodoHacker

    Mise à jour du 21 septembre 2011 par Idelways


    De sa propre initiative, le groupe américain VASCO Data Security International vient de placer en banqueroute sa subsidiaire Hollandaise DigiNotar, l'autorité de certification accusée de manquement grave à la sécurité après la déroute ComodoHacker.

    Le dépôt de cette procédure a eu lieu le 19 septembre auprès de la cour du district d'Haarlem au pays bas. La banqueroute a été prononcée le lendemain et un syndic de faillite prendra en main la gestion de l'entreprise et sa liquidation, sous le contrôle du juge chargé de l'affaire.

    Pour mémoire, des hackers se sont infiltrés dans les systèmes de sécurité de DigiNotar, et ont réussi de falsifier les certificats de sécurités destinés à Google et à d'autres cibles majeures.

    Mais c'est sa gestion de cette crise qui a fait de DigiNotar un paria de la sécurité auprès des éditeurs de navigateurs et systèmes d'exploitation. On lui reproche dans les faits deux torts : le manquement scandaleux à la sécurité pour un système de cette criticité, et l'attente incompréhensible avant de mettre au grand jour la débâcle encaissée.

    DigiNotar a en effet commencé à révoquer les certificats frauduleux le 19 juin, mais ne l'a fait pour les domaines *.google.com qu'à partir du 29. De plus, cette affaire n'a vraiment éclaté qu'un mois plus tard laissant une énorme brèche de sécurité miner les navigateurs et les données personnelles des utilisateurs.

    T. Kendall Hunt, président et responsable exécutif de VASCO assurent dans l'annonce de la pétition volontaire pour banqueroute que « l'incident à DigiNotar n'a aucun impact sur la technologie d'authentification de VASCO et DigiNotar restera complètement séparée ».

    Le haut responsable a par ailleurs noté que son entreprise coopérera entièrement avec les autorités hollandaises dans ses investigations pour retrouver les responsables de cette attaque.

    Pour plus d'informations sur l'affaire DigiNotar, lire notre dossier ci-devant.


    Source : Vasco

  16. #16
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2010
    Messages
    254
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : novembre 2010
    Messages : 254
    Points : 538
    Points
    538
    Par défaut
    Ah ben bravo! Tout ça à cause d'un glandu qui a trouvé ça marrant de ressortir des vieux dossiers pour se donner une excuse de terroriser le monde. Maintenant les gens perdent leur emploi... C'est pathéthique.
    "L'insanité consiste à répéter la même action dans l'espoir d'aboutir à un résultat différent" Albert Einstein
    ----------------------
    T.O.A.O 6-MarViN

  17. #17
    Membre chevronné Avatar de zeyr2mejetrem
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    novembre 2010
    Messages
    471
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : novembre 2010
    Messages : 471
    Points : 2 074
    Points
    2 074
    Par défaut
    Citation Envoyé par 6-MarViN Voir le message
    Ah ben bravo! Tout ça à cause d'un glandu qui a trouvé ça marrant de ressortir des vieux dossiers pour se donner une excuse de terroriser le monde. Maintenant les gens perdent leur emploi... C'est pathéthique.
    Cette situation malheureuse ne doit pas faire pointer du doigts les crackers (pas uniquement).
    En effet, les chapeaux noirs font leur boulot de chapeau noir, en quelque sorte ...
    Ce qui a vraiment mis le feu aux poudres c'est le relent de malhonnêteté lors de la gestion de la crise par le tiers de confiance.

    Imaginons une banque qui se fait braquer un de ses coffres-forts par des braqueurs. Ca arrive. C'est potentiellement inévitable dans l'absolu.
    Maintenant imaginons que cette banque se taise et dise à ses clients qu'il n'y a aucun problème tout en stockant les nouveaux dépôts dans des sacs poubelles 100L dans la remise derrière les guichets.
    Les clients en apprenant cela fermeraient tous leurs comptes et la banque ferait faillite.

    C'est pareil dans ce cas.
    Diginotar aurait dû communiquer tout de suite et suspendre ses émissions de certificat ...
    Si tu ne sais pas faire, apprends. Si tu fais, fais bien. Si tu sais bien faire, enseigne.
    Mieux vaut paraître stupide quelques temps que rester stupide toute sa vie.

  18. #18
    Expert éminent
    Avatar de kdmbella
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2010
    Messages
    799
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2010
    Messages : 799
    Points : 7 036
    Points
    7 036
    Par défaut
    Diginotar aurait dû communiquer tout de suite et suspendre ses émissions de certificat ...
    effectivement je trouve que leur démarche à été un peu idiote de vouloir dissimuler un truc aussi énorme. S'ils avaient été "plus sage", ils auraient pu perdre beaucoup au lieu de tout perdre
    "L'humanité se divise en trois catégories : ceux qui ne peuvent pas bouger, ceux qui peuvent bouger, et ceux qui bougent."
    - Benjamin Franklin

    De l'aide en Javascript , consultez la FAQ JS.

    De l'aide sur le FrameWork JS DHTMLX : posez vos questions sur le forum des Bibliothèques & Frameworks JS.

Discussions similaires

  1. Réponses: 17
    Dernier message: 23/12/2010, 07h43
  2. Le FTP ne fonctionne que pour les domaines racines ?
    Par Shudrum dans le forum Dreamweaver
    Réponses: 1
    Dernier message: 29/08/2008, 14h45
  3. Certificat SSL linux pour tomcat
    Par regisba dans le forum Tomcat et TomEE
    Réponses: 1
    Dernier message: 01/09/2007, 14h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo