« DigiNotar hacking » : un faux certificat d’authentification émis pour le domaine Google

AuthentificationMarketingSécurité

Aux Pays-Bas, DigiNotar a émis un faux certificat pour les noms de domaine en « google.com », perturbant l’intégrité du Web. Après Comodo, c’est un nouveau coup dur pour les mécanismes de certification.

Point commun entre DigiNotar et Comodo : VeriSign

Si l’on remonte la chaîne des responsabilités éventuelles, on constate que DigiNotar a été acquise par Vasco Data Security en janvier.

Or, l’autorité racine de VASCO est ni plus ni moins que VeriSign.

Le même fournisseur de services Internet qui avait déjà délégué l’édition de certificats numériques à Comodo.

Et c’est donc toute la chaîne de confiance de délégation des certificats numériques qui est mise à mal.

VeriSign avait déjà été mis à mal indirectement avec la collaboration ouverte avec le spécialiste de la sécurité IT RSA.

En effet, on se souvient que le système d’authentification forte SecurID de la firme de Bedford (Massachusetts) avait perdu de son intégrité suite à un mail « piégé ».

Ce qui avait permis à des hackers d’en connaître certains méandres censés restés secrets.

Et en filigrane, c’est toute la surcouche SSL (Secure Sockets Layer, protocole de sécurisation des échanges sur Internet) qui est pointée du doigt.

Celle-ci s’intercale entre la couche transport et la couche applicative du modèle OSI lui-même vieux de 30 ans.

Où trouver le certificat d’authentification sur Firefox ?
Pour mesurer l’ampleur et l’importance des certificats d’authentification numérique, ces véritables passeports sur lesquels les navigateurs s’appuient, regardez dans les entrailles de Firefox : ouvrez « outils options » ; une fenêtre s’ouvre. Dans la partie avancée en haut à droite, ouvrez l’onglet « chiffrement » puis dans la partie « certificat », choisissez « afficher les certificats » ; cliquez alors sur l’onglet « autorité ».

Lire aussi :