Certificats DigiNotar : blocage total Microsoft (et Firefox)

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Certificats DigiNotar : blocage total Microsoft (et Firefox)

Publié le 07 septembre 2011 à 09:11 par Jérôme G.

Lire sur mobile

Microsoft, Google et Mozilla révoquent tous les certificats SSL émis par l'autorité néerlandaise DigiNotar. Une mise à jour Windows concerne également Windows XP.

Google a diffusé une nouvelle mise à jour de Google Chrome samedi et Mozilla vient de faire passer Firefox en version 6.0.2. De même pour une mise à jour Thunderbird 6.0.2 et sans compter sur les branches antérieures ( Fx 3.6.22, Thunderbird 3.1.14 ).

Ces mises à jour pour lesquelles Apple tarde encore ( liste de blocage dans Mac OS X exploitée par Safari ) font suite aux 531 certificats SSL frauduleux délivrés par DigiNotar - autorité de certification basée au Pays-Bas - avec parmi les domaines concernés des noms comme Google, Mozilla, Microsoft, Facebook, Twitter, Yahoo, Skype...

Selon les premiers éléments d'un audit mené par Fox-IT, plusieurs serveurs de DigiNotar ont été piratés à partir du mois de juin, et de là l'émission de certificats SSL frauduleux. Un épisode qui a perduré jusqu'au mois d'août avant qu'une alerte ne soit donnée.

Un certificat SSL sert à s'assurer de l'authenticité d'un site, et pour cela le navigateur Web entre aussi en jeu. Via un faux certificat SSL, une attaque de type man-in-the-middle peut être menée. A priori, les pirates ont essentiellement espionné des comptes Gmail appartenant à des Iraniens. D'après Fox-IT, 99 % des cibles visées étaient en Iran. De l'ordre de 300 000 comptes concernés et de lourds soupçons qui pèsent sur une opération menée par l'Iran.

Microsoft diffuse également une mise à jour Windows par l'intermédiaire d'Automatic Update. Il s'agit de la deuxième mise à jour pour Windows Vista et Windows 7, mais de la première pour Windows XP qui a pour but de bloquer tous les certificats SSL DigiNotar grâce à une liste sollicitée par Internet Explorer.

La firme de Redmond considère qu'il s'agit d'un " problème industriel " qui nécessite une collaboration avec les autorités de certification, les gouvernements et les éditeurs de logiciels.

" Nous avons jugé que tous les certificats DigiNotar ne sont plus dignes de confiance et les avons déplacés dans l'Untrusted Certificate Store. De plus, nous avons étendu notre support avec cette mise à jour et tous les clients qui utilisent Windows XP, Windows Server 2003 et toutes les applications Windows tierces supportées sont protégés "

, explique le responsable de l'informatique de confiance chez Microsoft.

Le directeur de l'ingénierie Firefox chez Mozilla avait pour sa part souligné que la suspension des certificats DigiNotar n'était pas temporaire, mais un retrait complet du programme des certificats racine de confiance.