un certificat SSL frauduleux pour *.google.com

par Jean-François Audenard

Fotolia_17543162_S.jpg

Un certificat SSL frauduleux pour *.google.com a été identifié hier, cf le message officiel sur le blog de Google.

Avec un tel certificat dans la nature, les internautes peuvent être la cible d'attaques dite de MITM (Man-In-The-Middle - ou "homme du milieu") alors qu'ils se connectent aux services de Google comme  Gmail par exemple. Un attaquant serait donc en mesure de voir le contenu des communications à l'insu de la personne pour lire ses mails.

Selon un échange sur le forum de support de Google UK, il semblerait que cette attaque soit liée avec des écoutes illégales de communications Internet depuis l'Iran : Information à prendre avec des pincettes car rien n'est sûr mais cela semble tout à fait vraisemblable. En effet, l'article de l'EFF  intitulé "Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities" confirme l'incident et remet une couche sur le danger que représente le système basé sur les autorités de certification.

Autorité de certification : DigiNotar

Ce certificat a été émis par l'autorité de certification DigiNotar (Pays-Bas). Pour le moment, on ne sait pas si leur procédures de délivrance de certificats sont en cause ou si ils ont été victimes d'une intrusion. Les détails du certificat SSL frauduleux sont disponibles ici sous Pastebin.

La réaction de Mozilla est tranchante : L'autorité de certification DigiNotar est révoquée de la liste des autorités approuvées dans Firefox, Seamonkey et ThunderBird. Tous les certificats émis par DigiNotar  sont donc invalidés (donc celui émis pour *.google.com mais aussi bien d'autres par la même occasion).

Visiblement, aucune info de visible sur le site web de DigiNotar

Faire le ménage

Il est recommandé de mettre à jour son navigateur Firefox pour bénéficier de la liste des autorités de certifications mise à jour suite à la révocation par Mozilla.

Pour les personnes ne pouvant mettre à jour leur navigateur ; il leur est possible de révoquer manuellement DigiNotar en suivant ce guide pour Firefox.

Pour Internet Explorer iront sous "Outils" puis "Options Internet" ; sélectionner l'onglet "Contenus". Cliquer sur le bouton "Editeurs" (dans la section "certificats") et selectionneront l'onglet "Autorités principales de confiance" : Ils pourront supprimer l'entrée "DigiNotar root CA".

Vers un autre système ?

Le problème du système a été une nouvelle fois pointé du doigt par Moxie Marlinspike lors de la Defcon 2011 : L'une des solutions proposée s'appuie sur le système baptisé "Convergence" qui ; via une extension Firefox ; rends le contrôle à l'utilisateur. A suivre.

Jean-François Audenard

Crédit : © Joerg Habermeier - Fotolia.com

publié le 30/08/2011

précédent
auteur : Jean-François Audenard (voir la biographie)
Au sein d'Orange Business Services, je suis en charge d'intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : Pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j'aime aller au delà des chantiers battus et faire "bouger les codes". La franchise est ma "touche" et l'optimisme et le volontarisme mes deux moteurs.
Voir la fiche de Jean-François Audenard sur connecting technology blog »
tags : ,,,,,,,,,
commentaires : 5
trackbacks : 0

5 Commentaires

Jean-François Audenard | 30 août 2011 11h05 | répondre

Quelques liens complémentaires :
- Sophos, Falsely issued Google SSL certificate in the wild for more than 5 weeks (http://nakedsecurity.sophos.com/2011/08/29/falsely-issued-google-ssl-certificate-in-the-wild-for-more-than-5-weeks/)
- CNET, Fraudulent Google certificate points to Internet attack
(http://news.cnet.com/8301-27080_3-20098894-245/fraudulent-google-certificate-points-to-internet-attack/)

Marceau GUIHARD | 30 août 2011 22h06 | répondre

J'ai effacé le certificat digi notar CA en suivant les instructions de Mozilla, mais il réapparait tout seul aussitôt après.
Est-ce parce que j'utilise Google reader ?
FF 6, Windows 7 64 bits

Jean-François Audenard | 31 août 2011 11h46 | répondre

Bonjour.

C'est troublant mais tout à fait normal : Comme il s'agit d'un certificat intégré "built-in", on ne peut pas le détruire mais simplement le désactiver. C'est indiqué dans la page de Mozilla : Because the certificate is "built-in" it will be distrusted but not deleted. Distrusting the certificate has the same effect as deleting it.

Je viens de vérifier (faites le test vous-même) le certificat reste bien présent mais il n'est plus en mesure de vérifier quoi que ce soit : Selectionner de nouveau le certificat de DigiNotar et cliquer sur "Voir" : En haut on a un message indiquant "Impossible de vérifier ce certificat pour une raison inconnue" (Le message aurait pu être plus clair, il faut le dire).

En tout cas, merci pour ce retour car l'info sera utile pour d'autres personnes.

Jean-François Audenard | 31 août 2011 14h29 | répondre

Microsoft vient aussi de retirer le certificat racine de DigiNotar de la liste des certificats racine approuvés: http://www.microsoft.com/technet/security/advisory/2607712.mspx
Google.com ne serait pas le seul à être concerné : D'autres faux certificats auraient aussi été générés pour d'autres domaines. Il est donc important de procéder aux mises à jour de ses logiciels Internet (Firefox, Internet Explorer, ...).

Jean-François Audenard | 4 septembre 2011 18h15 | répondre

Autre info intéressante qui me fait fortement douter que le systeme d'autorité de certifications tel qu'il est en place est mal en point : Faux certificat de sécurité et détails techniques de l’aide apportée par Microsoft à Ben AliInformation qui date un peu mais qui reste intéressante...

commenter

 
(Utilisez des balises HTML pour mettre en forme vos commentaires)