pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

La foire aux certificats SSL continue

Mercredi 23 mars 2011

Décidément, le temps n'est pas au beau fixe au pays des certificats SSL.

En Mars 2010, j'avais signalé qu'il était fort possible que les autorités de certifications ("CA") soient abusées, et qu'on se retrouve avec des certificats frauduleux signés par des CA officielles. Nous voici dans un cas concret: Comodo - une autorité de certification - a récemment annoncé que 9 certificats frauduleux ont été signés avec la clé officielle Comodo. Un attaquant s'est introduit dans le système informatique d'un partenaire de Comodo et est parvenu à faire signer ses 9 certificats bidonnés.

Ces certificats frauduleux concernent plusieurs domaines, et pas des moindres: login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com et addons.mozilla.org.

Concrètement, les conséquences ? Quelqu'un en mesure de détourner votre trafic réseau (ou de spoofer des DNS) aurait put déchiffrer votre trafic SSL sans lever d'alerte. Et là, même des outils comme CertPatrol n'auraient même pas été d'une grand utilité: On aurait vu un changement de certificat, mais le nouveau certificat serait apparu comme signé par une CA officielle, Comodo.

J'ignore si le certificat de addons.mozilla.org sert à signer les addons Firefox, mais si c'est le cas cela permettrait l'installation d'addons foireux signé officiellement par Mozilla. Il y a sans doute d'autres conséquences que je n'ai pas mesurées (à quelle échelle est utilisé login.live.com ?)

Les hackers avaient une adresse IP iranienne, et des serveurs iraniens ont été détectés présentant ces certificats. Vous devinez, n'est-ce pas ? Si cette brèche n'avait pas été découverte, le gouvernement iranien aurait pu piquer les mots de passe des sites Microsoft, Google, Yahoo, et écouter les conversations téléphoniques Skype.


Rassurez-vous, ces certificats frauduleux ont été révoqués dans Firefox. Microsoft a également poussé une mise à jour par WindowsUpdate qui n'est même pas nécessaire (en principe) puisque la majorité des navigateurs ont le système de vérification de révocation automatique activé.

Mais ce système de révocation ne peut marcher que si la fraude est détectée. Quand on voit le paquet d'autorités de certifications présents dans les navigateurs, on multiplie les risques. Aucune entreprise n'est parfait, les humains qui la composent non plus. Il y aura donc encore des fraudes aux certificats, que ce soit par la pénétration de systèmes informatiques ou l'ingénierie sociale.


Mise à jour 24 mars 2011: Oh tiens, l'EFF et Cory Doctorow semblent prendre conscience de ce dont j'avais parlé en 2010. Espérons que cela aide à faire prendre conscience de l'étendu du problème.

Voir tous les billets