« DigiNotar Hacking » : les smartphones sont aussi concernés
Si les certificats SSL frauduleux de DigiNotar ont été révoqués par Google et Mozilla (pour protéger les navigateurs Chrome et Firefox), ils demeurent une menace pour les OS mobiles (Google Android et Apple iOS).
Un hacker a réussi à pénétrer les systèmes informatiques du fournisseur néerlandais de services Internet DigiNotar et à émettre 531 certificats SSL frauduleux.
De nombreuses sociétés ont révoqué tous les certificats émis par ce prestataire considéré comme une autorité de certification.
En particulier les éditeurs proposant des navigateurs internet.
Mozilla a ainsi été prompt à intervenir au bénéfice de son navigateur Firefox. La semaine dernière, Google a également révoqué les certificats SSL de DigiNotar pour son navigateur Chrome.
Mais quelles conséquences pour les environnements mobiles ?
Apple (pour iOS) et Google (pour Android) n’ont fait aucun commentaire à ce sujet.
La problématique est plus complexe. Délivrer un patch se fait via les opérateurs mobiles. Il en est de même pour Apple avec iOS.
Or, que se passerait-il si les utilisateurs étaient re-dirigés vers un site frauduleux en lieu et place de celui escompté pour effectuer la mise à jour idoine ?
Autre frein : les opérateurs mobiles sont beaucoup plus lents à réagir que les éditeurs de logiciels lorsqu’il s’agit de mises à jour.
Roel Schouwenberg, un chercheur pour le compte de Kaspersky Lab, enfonce le clou via InfoWorld : « D’un côté, Google s’est montré très pro-actif, mais, de l’autre, la société garde un silence absolu sur une éventuelle mise à jour pour Android. C’est vraiment inquiétant. »
Pour Microsoft et Windows Phone 7, les choses sont plus simples dans la mesure où l’OS mobile ne contient pas de certificats émis par DigiNotar dans sa liste de certificats authentifiés.
Il semblerait qu’il en soit de même pour Research in Motion et ses BlackBerry (au moins certains de ses smartphones).
L’affaire DigiNotar hacking est donc riche d’enseignements. Elle démontre que s’il est relativement facile et rapide de procéder à des mises à jour sur les ordinateurs personnels, cela devient beaucoup plus compliqué sur les smartphones par l’intermédiaire des opérateurs mobiles.
Et cela ne va pas sans poser des problèmes majeurs à l’avenir si tant est que les attaques se multiplient en direction des smartphones.