En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    Le Gala des DSI 2018

    Pour sa 6ème édition, le Gala des DSI reprendra possession du Pavillon d’Armenonville à Paris.…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour une confiserie
    < 5 000 €
    > En savoir plus
  • Création d'un site eCommerce pour un commerce de détail alimentaire
    <1000 €
    > En savoir plus
  • Création de site Internet vitrine pour un bureau d'études techniques
    A déterminer €
    > En savoir plus
BigData2018_leaderboard

Quand les certificats électroniques sont piratés

BigData2018_pave

Une récente intrusion dans les systèmes informatiques de l’autorité de certification néerlandaise DigiNotar s’est soldée par la création de certificats SSL frauduleux permettant de valider des sites internet peu recommandables. Le gouvernement hollandais a annoncé ne plus pouvoir garantir la sécurité de ses propres sites, et a demandé aux néerlandais de ne plus se connecter aux sites nationaux, le temps que de nouveaux certificats soient émis par une autre autorité de certification. Patrick Duboys, directeur du marketing produit chez Keynectis, analyse ce phénomène et ses répercussions en revenant d’abord sur le rôle d’une autorité de certification. “Une autorité de certification est reconnue par les navigateurs lorsqu’un engagement contractuel a été passé avec les éditeurs de ces navigateurs. À travers cet accord, les autorités de certification doivent respecter des procédures et mettre en oeuvre des moyens humains et techniques adéquats. L’autorité de certification qui est reconnue comme de confiance voit son certificat électronique racine inclus dans les navigateurs Internet. Elle a la possibilité de créer des certificats SSL pour des entreprises telles que ‘Ma Banque Préférée’, par exemple. Ces certificats SSL sont rattachés au certificat racine. Le navigateur Internet fait confiance à l’autorité de certification qui fait lui-même confiance au certificat SSL délivré et installé sur son serveur web par ‘Ma Banque Préférée’. Par la transitivité de la confiance le navigateur Internet fait donc confiance au site web de ‘Ma Banque Préférée’. Un certificat SSL permet donc d’authentifier un site web comme étant valide”. Dans le cas de DigiNotar, les pirates ont réussi à créer des certificats frauduleux sous la racine reconnue dans les navigateurs, à dupliquer un site web valide sur un de leur propre serveur et à pirater la redirection afin que ce site valide aiguille les données vers leur propre serveur et non pas vers le vrai serveur du site officiel. “Cela n’a été possible que parce que l’autorité de certification a présenté une faille importante dans ses processus”, explique Patrick Duboys. La communauté des autorités de certifications et des navigateurs internet, qui édite des recommandations pour les procédures et moyens à mettre en oeuvre, va probablement prendre plus d’importance dans les années à venir. Les audits vont devenir plus contraignants. Les certificats SSL Extended Validation vont progressivement s’imposer comme un standard. Il est fort probable que cet incident portera un coup fatal à DigiNotar et que toutes les autorités de certifications renforceront leurs procédures et leurs moyens”. 

Quand les certificats électroniques sont piratés
Notez cet article

Laisser un commentaire

L’e-paiement, à l’heure de la convergence

Le nouveau livre blanc de la rédaction de Solutions-Numériques (40 pages). Dans un contexte réglementaire évolutif, le foisonnement des innovations s'accroit: paiement instantané, blockchain, dématérialisation, transformation de l’écosystème des paiements avec son ouverture à de nouveaux acteurs...

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Corruption : la justice sud-coréenne libère l'héritier de Samsung

    (AFP - Jung Ha-Won) - La justice sud-coréenne a confirmé lundi la condamnation pour corruption…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • De la log data à la smart data

    Pour prospérer dans un monde digital, les entreprises doivent voir plus loin que la log…

    > En savoir plus...
Etudes/Enquêtes
  • Connexion aux applications : les utilisateurs privilégient désormais la sécurité à la commodité

    Changement d'attitude : face aux nombreux vols de données personnelles, les utilisateurs privilégient désormais la…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Ixia_RGPD_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
  • L'intelligence Artificielle, vraie rupture en cybersécurité

    > Voir le livre
GlobalK_GDPR _skycraper