Les failles de sécurité ouvrent la porte aux cyber criminels
Les sites de Google, Yahoo, Microsoft Live, Mozilla ou encore Skype ont été victimes, il y a une dizaine de jours, de tentatives d’usurpation d’identité. Les attaquants ont obtenu des certificats numériques SSL (secure socket layer) afin de rediriger les internautes vers de faux sites à l’apparence des vrais, le navigateur ne parvenant pas forcément, à la lecture du certificat, à distinguer le faux du vrai serveur web.
« Dans ce cas précis, une attaque a permis à des pirates de se faire passer pour un émetteur de certificats, explique l’éditeur Keynectis spécialisé dans la gestion des identités numérique. Certains systèmes d’exploitation ne vérifiant ni la liste de révocation, ni le protocole de vérification en ligne, les faux certificats générés ont ainsi pu être diffusés sur la toile. » Résultats, les internautes risquaient de se voir pirater leurs identités en livrant leurs données personnelles en toute confiance aux faux sites en questions.
Comment s’y sont pris les pirates pour orchestrer leurs méfaits? En exploitant une faille dans l’autorité d’adressage (root authority) pour ouvrir un compte utilisateur auprès de Comodo, un éditeur américain de solutions d’authentification notamment fournisseur de certificats numériques, et commander neuf certificats pour sept domaines. Dans un communiqué daté du 15 mars, Comodo affirme avoir immédiatement révoqué les certificats en question.
Néanmoins, l’éditeur a constaté que ces faux « passeports numériques » continuaient d’être exploités après la révocation permettant ainsi de tromper les utilisateurs dont les plate-formes (système d’exploitation, navigateur…) ne prenaient pas soin de vérifier ces listes de révocation, comme l’explique Keynectis. Particulièrement le domaine ‘login.yahoo.com’.
Pour Comodo, cette attaque n’est pas le fait de cybercriminels avides de sources pécuniaires mais d’un Etat visant l’infrastructure d’Internet. Et de pointer du doigt le régime iranien. « L’auteur peut utiliser ces certificats uniquement s’il a le contrôle de l’infrastructure DNS [les serveurs de domaines réparties aux quatre coins du globe, NDLR] », justifie l’éditeur qui ajoute que « le gouvernement iranien a récemment attaqué d’autres méthodes de communication protégée par chiffrement ».
Entre la circulation de faux certificats de sites plus vrais que nature et le récent vol d’information sur la solution d’authentification SecurID de RSA, la confiance dans les solutions de sécurisation en prend un sacré coup.
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…