Par la rédaction le 07/09/2011
On savait le cordonnier mal chaussé, on a maintenant le tiers de confiance dont la sécurité est approximative et sujette à des attaques répétées. En quelques semaines, Comodo et Diginotar ont été hackés et mettent le doute sur l’ensemble de la chaîne de confiance et de sécurité SSL. Conséquence, la plupart des navigateurs bloquent les certificats émis par ces entreprises. Et les utilisateurs ne peuvent plus accéder à des sites publics.
Comme le rappelle avec justesse notre confrère SecuObs, il n’y a rien de bien neuf sur le niveau de sécurité apporté par SSL ou celle des autorités de certification. Cependant celles-ci se trouvent désormais sous le feu constant des attaques de hackers qui de loin préfèrent pénétrer un réseau en étant un utilisateur autorisé !
On peut tout de même s’interroger sur la légèreté de la sécurité mise en place chez DigiNotar, selon le rapport rendu, qui cumule à peu près tout ce qu’il ne faut pas faire. On pourrait en rire si les conséquences n’étaient pas si graves. Tout comme le dopage dans le cyclisme, on va encore avoir droit au numéro de la brebis galeuse alors que les autres sont évidemment au-dessus de tous soupçons. Cela fait quand même beaucoup en quelques semaines. Les principaux navigateurs, IE, Firefox, Chrome ont déjà fait le ménage et ont verrouillé les accès par les certificats issus par DigiNotar. Cette diligence n’a pas été suivie sur les environnements mobiles.
Il n’en reste pas moins que du fait d’une informatisation à outrance des services publics aux Pays-Bas, la plupart des communications vers les sites de l’administration fiscale, de l’état civil, ne peuvent plus garantir que les communications sont entièrement sécurisées et que la personne au bout du PC est bien la personne annoncée ! Si les autorités néerlandaises travaillent déjà à résoudre le problème… avec une autre autorité de certification (Aïe !!!), la situation ne sera certainement pas tout à fait la même.
Complexe et grave
D’ailleurs la situation est tellement complexe que Microsoft a accordé une semaine de plus aux autorités néerlandaises pour opérer ce remplacement avant de mettre à jour la liste des certificats. Au bilan, le ministre de la Justice des Pays-Bas a indiqué ne pouvoir assurer la confidentialité des sites comme ceux de la sécurité sociale ou des taxes !
Deuxième conséquence grave, les certificats « volés » ont permis d’espionner 300 000 iraniens. Il en est de même pour des sites grand public comme des réseaux sociaux. Certains pointent déjà le doigt vers le gouvernement iranien en ces temps « d’été indien arabe », le « printemps » étant passé depuis longtemps.
Plusieurs citoyens iraniens avaient depuis subi des attaques de type man-in the middle selon des firmes américaines spécialisées dans la sécurité. C’est tout de même beaucoup de travail pour pas grand-chose si l’opération a été menée avec le gouvernement iranien. Il est plus simple de mettre en place une LOPPSI 1 ou 2 ou HADOPI pour savoir ce qui transite dans les tuyaux des internautes.
Bertrand Garé