Edition du 05/09/2011
Après le piratage des serveurs de l'autorité de certification néerlandaise DigiNotar, des hackers iraniens ont réussi à émettre de faux certificats pour les domaines des agences d'espionnage de la CIA, du Mossad et du MI6. D'autres autorités de certification de premier plan, comme VeriSign et Thawte, ont également été visées, comme l'ont été des sites de dissidents iraniens.
La cyber-attaque menée contre DigiNotar, filiale néerlandaise de Vasco Data Security International, est donc beaucoup plus grave qu'on ne le pensait. Le piratage du réseau et de l'infrastructure de DigiNotar, en juillet dernier, a permis aux hackers d'avoir accès à plusieurs données de certifications de DigiNotar. Une fois introduits dans ses systèmes, les pirates sont parvenus à générer des centaines de faux certificats pour des domaines tiers. Avec ces certificats, les pirates peuvent potentiellement siphonner les informations de connexion d'un utilisateur en usurpant le site légitime, complet, mais dont le contrôle est assuré par les faux certificats SSL portant la signature de DigiNotar.
De tels certificats ont été émis pour les domaines de l'Agence centrale de renseignement américaine, celui du Mossad israélien et du MI6, les services secrets britanniques. Par ailleurs, il est apparu que les pirates avaient aussi créé de faux certificats pour des autorités de certifications comme VeriSign et Thawte, spécialisés dans la sécurisation des communications Internet, afin de porter atteinte à la réputation de leurs services.
De nombreux faux certificats émis
Une première liste des domaines pour lesquels ont été émis de faux certificats a été publiée samedi par Gervase Markham, développeur chez Mozilla. Des sources proches de l'enquête sur le piratage de DigiNotar ont confirmé à Webwereld que cette liste était authentique. Adam Langley, ingénieur pour Chrome, a également confirmé à Webwereld que Google disposait d'une liste identique. La télévision publique hollandaise NOS a également publié la liste de plus de cinquante domaines pour lesquels de faux certificats avaient été émis. Parmi eux, on trouve Google, Yahoo, Microsoft et Skype, et de nombreux sites très visités par les dissidents iraniens. NOS signale mêmes que les pirates ont créé de faux certificats comportant des messages faisant l'éloge de la Garde révolutionnaire iranienne. On ne sait pas encore quelle quantité de logins les pirates ont réussi à récolter pour espionner les mails et les messages de chat. La plupart des certificats sont périmés ou ont été révoqués après la découverte de l'intrusion par DigiNotar, mi-juillet.
Chris Soghoian, chercheur en sécurité et spécialiste de la confidentialité des données à l'Indiana University et Graduate Fellow au Center for Applied Cybersecurity Research, a déclaré que la liste représentait un « ensemble très intéressant de sites. » Cependant, celui-ci doute que les pirates aient pu pénétrer les réseaux des agences d'espionnage avec leurs faux certificats. « Les domaines des services secrets présentent peu de risque. L'attaque est originale. Elle va probablement susciter beaucoup d'interrogations et capter l'intérêt des agences gouvernementales. Bien sûr, personne n'aime être pris au dépourvu. Mais il n'y a vraiment pas d'informations classées dans ces domaines. Ils sont séparés des réseaux internes. Donc, en pratique, l'intérêt pour le gouvernement iranien d'avoir pu obtenir un certificat pour la CIA est nul. C'est juste très embarrassant, » a t-il déclaré dans une interview à Webwereld.
Pourtant, le hack de DigiNotar n'est pas sans conséquence. « Ce qui est préoccupant, c'est que les pirates ont émis de faux certificats pour d'autres agences de certification, comme VeriSign et Thawte. Mais le plus problématique concerne des sites comme Google et Facebook, ou encore Walla, l'un des plus grands fournisseurs de service de messagerie en Israël. Grâce à ces faux certificats SSL, le régime iranien pourrait siphonner les comptes et les communications en ligne d'un nombre très élevé de personnes, » a encore expliqué Chris Soghoian. Google a déjà mis à jour son navigateur Chrome pour qu'il bloque l'accès à tout site utilisant un certificat DigiNotar. Et Mozilla et Microsoft devraient publier prochainement des correctifs pour leurs navigateurs. Dans un tweet récent, l'équipe Microsoft Security Response a écrit : « Nous classons tous les certificats de DigiNotar dans l'Untrusted Root Store de manière à refuser l'accès à tout site web utilisant les CAs de ce certificateur. » Cela signifie notamment que des centaines de sites du gouvernement néerlandais seront inaccessibles dans les prochains jours si les agences ne basculent pas vers un autre système de certification d'ici là.
La semaine dernière, l'entreprise de sécurité néerlandaise Fox-IT, a analysé dans le détail le piratage de DigiNotar. Les résultats préliminaires ont incité le gouvernement de La Haye à passer en mode alerte : celui-ci a décidé l'arrêt immédiat de tous les services DigiNotar, et a pris en charge la gestion opérationnelle de l'Autorité de Certification de DigiNotar. Le rapport de Fox-IT devrait être envoyé au Parlement et rendu public aujourd'hui. DigiNotar n'a pas répondu à une demande de commentaire à ce sujet.