Ajouter un commentaire

Par :
société Keynectis

mar, 06/09/2011 - 14:22

Pour la seconde fois cette année une Autorité de Certification est sous les feux des projecteurs après une attaque de pirates ayant créé des certificats SSL frauduleux permettant d’authentifier à tort des sites Internet comme valides. Cela met à nouveau en exergue l’importance des moyens humains, procéduraux et techniques qui garantissent que de tels événements ne puissent pas se produire et que si malgré tous ces efforts une attaque venait néanmoins à survenir la communauté sache comment réagir rapidement. Par la société Keynectis.

Rappel du principe d’une Autorité de Certification et du certificat SSL:

Une Autorité de Certification est reconnue de confiance dans les navigateurs après un engagement contractuel avec les éditeurs de navigateurs Internet tels que par exemple Internet Explorer, Mozilla Firefox, Apple Safari ou Google Chrome. En contrepartie les Autorités de Certification se doivent de respecter des procédures et de mettre en œuvre des moyens humains et techniques adéquates. L’Autorité de Certification qui est reconnue comme de confiance voit son certificat électronique « Racine » inclus dans ces navigateurs Internet. Ainsi le certificat « Racine » de l’Autorité de Certification telle que KEYNECTIS est reconnu dans les navigateurs Internet. Cette Autorité de Certification a la possibilité de créer des certificats SSL pour des entreprises telle que Ma Banque Préférée par exemple. Ces certificats SSL sont rattachés au certificat « Racine ». Le navigateur Internet fait confiance à l’Autorité de Certification qui fait lui-même confiance au certificat SSL délivré et installé sur son serveur web par Ma Banque Préférée. Par la transitivité de la confiance le navigateur Internet fait donc confiance au site web de Ma Banque Préférée www.mabanquepréfére.com. Un certificat SSL permet donc d’authentifier un site web comme valide. A noter que les échanges d’information entre le navigateur Internet et le serveur web sont également encodés (chiffrés).

Rappel de l’attaque :

Les pirates ont réussi à :

- créer des certificats frauduleux sous la racine DigiNotar qui est reconnue dans les navigateurs,

- à dupliquer un site web valide sur un de leur propre serveur,

- et à pirater la redirection afin que ce site valide redirige vers leur propre serveur et non pas vers le vrai serveur du site valide.

Tout cela en affichant un certificat SSL valide.

Cela n’a été possible que parce que l’Autorité de Certification a présenté une faille importante dans ses processus. Les éditeurs de navigateurs ont depuis retiré la racine de DigiNotar de leur liste de racines de confiance aussi appelé magasin de certificats racine. Les utilisateurs finaux doivent néanmoins mettre à jour leurs navigateurs pour en profiter.

Les implications :

La communauté des Autorités de Certifications et des navigateurs Internet rassemblée aujourd’hui sous l’égide du CAB Forum Cab Forum (Elle édite des recommandations pour les procédures et moyens à mettre en œuvre) va probablement prendre plus d’importance dans les années à venir. Les audits vont devenir plus contraignants. Les certificats SSL Extended Validation vont progressivement s’imposer comme le standard préféré des Internautes. Il est fort probable que cet incident portera un coup fatal à DigiNotar et que toutes les Autorités de Certifications renforceront leurs procédures et leurs moyens.

A propos de l'auteur

société Keynectis

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 TTTTTT   QQQ    TTTTTT  BBBB       J 
TT Q Q TT B B J
TT Q Q TT BBBB J
TT Q QQ TT B B J J
TT QQQQ TT BBBB JJJ
Q