Accueil Quand les certificats électroniques sont piratés

Quand les certificats électroniques sont piratés

Une récente intrusion dans les systèmes informatiques de l’autorité de certification néerlandaise DigiNotar s’est soldée par la création de certificats SSL frauduleux permettant de valider des sites internet peu recommandables. Le gouvernement hollandais a annoncé ne plus pouvoir garantir la sécurité de ses propres sites, et a demandé aux néerlandais de ne plus se connecter aux sites nationaux, le temps que de nouveaux certificats soient émis par une autre autorité de certification. Patrick Duboys, directeur du marketing produit chez Keynectis, analyse ce phénomène et ses répercussions en revenant d’abord sur le rôle d’une autorité de certification. “Une autorité de certification est reconnue par les navigateurs lorsqu’un engagement contractuel a été passé avec les éditeurs de ces navigateurs. À travers cet accord, les autorités de certification doivent respecter des procédures et mettre en oeuvre des moyens humains et techniques adéquats. L’autorité de certification qui est reconnue comme de confiance voit son certificat électronique racine inclus dans les navigateurs Internet. Elle a la possibilité de créer des certificats SSL pour des entreprises telles que ‘Ma Banque Préférée’, par exemple. Ces certificats SSL sont rattachés au certificat racine. Le navigateur Internet fait confiance à l’autorité de certification qui fait lui-même confiance au certificat SSL délivré et installé sur son serveur web par ‘Ma Banque Préférée’. Par la transitivité de la confiance le navigateur Internet fait donc confiance au site web de ‘Ma Banque Préférée’. Un certificat SSL permet donc d’authentifier un site web comme étant valide”. Dans le cas de DigiNotar, les pirates ont réussi à créer des certificats frauduleux sous la racine reconnue dans les navigateurs, à dupliquer un site web valide sur un de leur propre serveur et à pirater la redirection afin que ce site valide aiguille les données vers leur propre serveur et non pas vers le vrai serveur du site officiel. “Cela n’a été possible que parce que l’autorité de certification a présenté une faille importante dans ses processus”, explique Patrick Duboys. La communauté des autorités de certifications et des navigateurs internet, qui édite des recommandations pour les procédures et moyens à mettre en oeuvre, va probablement prendre plus d’importance dans les années à venir. Les audits vont devenir plus contraignants. Les certificats SSL Extended Validation vont progressivement s’imposer comme un standard. Il est fort probable que cet incident portera un coup fatal à DigiNotar et que toutes les autorités de certifications renforceront leurs procédures et leurs moyens”.