Sécurité - Le piratage de DigiNotar avait été exploité pour générer plus de 500 certificats frauduleux, dont un utilisé pour intercepter les communications Gmail de milliers d’iraniens. N’étant plus considérée comme autorité de confiance, DigiNotar est en faillite.
L’autorité de certification néerlandaise ne se sera finalement pas remise du piratage dont elle a fait l’objet en juillet, mais surtout des graves défaillances de sécurité que celui-ci a mis en lumière.
Un des principaux clients de DigiNotar, l’Etat hollandais, avait commandité un audit de sécurité et révoqué ensuite l’ensemble de ses certificats. Par ailleurs, l’autorité n’est plus considérée comme de confiance par les navigateurs - tardivement du côté d'Apple.
Le cas DigiNotar, un signal d'avertissement pour les autorités
En clair, c’est son activité d’émission de certificats électroniques qui ne pouvait plus s’exercer. La maison mère de DigiNotar a donc annoncé dans un communiqué que sa filiale était en procédure de faillite. Pour Vasco, c’est donc un retrait de ce secteur d’activité, que l’entreprise ne compte pas réinvestir dans un futur proche.
La conclusion de ce piratage pour l’autorité négligente pourrait inciter d’autres acteurs de ce marché à renforcer leurs règles de sécurité. Désignée comme cible par le hacker présumé de DigiNotar et Comodo, GlobalSign a en tout cas réagi immédiatement, suspendant provisoirement la création de certificats SSL dans l’attente des conclusions d’un audit.
Mozilla a profité de ce nouvel incident pour tenter de mettre la pression sur les autorités de certification en exigeant notamment plus de transparence et des audits de sécurité. Dans la balance : le risque pour les sociétés de voir leur certificat root révoqué de Firefox, c’est-à-dire de s’exposer à une rupture de la chaîne de confiance.
Voir aussi notre décryptage :
Les Certificats SSL frauduleux et piratage d’autorités de certification
À lire aussi
- Plus de 500 certificats SSL dérobés à une autorité de certification
- Certificats SSL frauduleux et piratage d’autorités de certification : décryptage
- Quatre nouvelles autorités de certification piratées ?
- Mozilla lance un ultimatum aux autorités de certification
- L’autorité de certification GlobalSign compromise, mais sans conséquences
Aucun commentaire:
Enregistrer un commentaire