Sans forcément le savoir, nous utilisons quotidiennement des certificats TLS/SSL, qui sont les garants de la sécurité des sites internet gérant des données confidentielles (personnelles, bancaires, etc.). Malheureusement, plusieurs cybercriminels ont dernièrement réussi à s’en procurer. Comment ? Et avec quelles conséquences pour les internautes ?
En mars dernier, un hacker iranien avait réussi à obtenir du fournisseur de certificats Comodo neuf certificats pour des domaines appartenant à Microsoft, Google, Mozilla ou Skype. Le risque pour les internautes est alors de se connecter à des sites malveillants, portant l’identité numérique de sites certifiés, et donc d’être reconnus comme tel par le système d’exploitation (ex : Windows) et surtout le navigateur internet (ex : Firefox).
Ces derniers jours, c’est le certificateur DigiNotar qui aurait laissé s’échapper des certificats valides, au bénéfice de pirates, également iraniens semble-t-il. Ces certificats, parfaitement valides, sont ceux – entre autres – de Google. Avec ce passeport numérique, les hackers peuvent recréer un faux Gmail, avec non seulement son apparence (comme un site de phishing), mais également son ADN de sécurité numérique. Si cela était fait, les pirates iraniens pourraient intercepter toutes les communications, et surveiller les opposants au régime, ou voler de nombreuses informations personnelles (tout dépend des motivations).
Deux affaires qui jettent le doute sur la robustesse du système TSL/SSL.
Qu’est-ce que TSL/SSL ?
Il s’agit d’un protocole de sécurisation des échanges sur Internet, anciennement appelé SSL, et aujourd’hui dénommé TSL (Secure Sockets Layer). Ainsi, les sites internet qui veulent par exemple certifier la sécurité de leurs flux d’informations confidentielles (personnelles, bancaires, stratégiques, etc.) demandent un certificat TSL à un organisme agréé, une autorité reconnue de certification (comme les susnommés Comodo et DigiNotar).
En effet par défaut, le protocole HTTP véhicule toutes les informations en clair (non cryptées). En définitive, un certificat TSL permet :
- D’encrypter les données échangées entre les utilisateurs et le serveur
- De prouver la validité du serveur (certification), à la manière d’un label
On a appris cette semaine que Google pourrait ne pas être le seul concerné par le hack de l’autorité de confiance hollandaise DigiNotar, qui finit par avouer elle-même, un peu tardivement : « DigiNotar a détecté une intrusion dans son infrastructure CA (Certificate Authority), ce qui a abouti à l’émission frauduleuse de demandes de certificats pour un certain nombre de domaines, y compris Google.com. Une fois l’intrusion détectée, DigiNotar a agi conformément à toutes les règles et procédures en vigueur« . L’entreprise a donc révoqué les certificats douteux, mais il est possible qu’il en reste un ou plusieurs en liberté.
Comment ne pas se faire piéger sur Internet par de vrais-faux certificats TSL ?
En mettant à jour votre navigateur Internet, dès qu’une nouvelle version est proposée par le logiciel.
C’est Google qui a dégainé le plus rapidement, et qui a immédiatement révoqué 247 certificats DigiNotar : son navigateur Chrome est désormais capable d’identifier le certificat usurpé. Firefox (Mozilla) propose lui aussi une mise à jour qui permet de se protéger. Le support de Mozilla énonce également sur son site une méthode manuelle qui permet d’effacer le certificat DigiNotar CA, quelle que soit la version du navigateur. Internet Explorer (Microsoft) est lui aussi aujourd’hui à jour. Apple, moins habitué aux problèmes de sécurité, n’a pas encore réagi frontalement. Voici néanmoins la procédure manuelle qui vous permettra de révoquer le certificat SSL Diginotar dans le Trousseau d’accès :
- Ouvrir le Trousseau
- Trouver et ouvrir le certificat DigiNotar
- Choisir Se fier, puis Lors de l’utilisation de ce certificat, sélectionner Ne jamais approuver.
Les certificats de sécurité de type TLS sont aujourd’hui très répandus, notamment parce que les entreprises qui les utilisent ont pleinement confiance dans ce système qui a fait ses preuves. Mais ces deux opérations de hacking ont jeter le doute sur les organismes de certification. Espérons qu’ils revoient leur façon de fonctionner si l’on ne veut pas qu’Internet devienne une vraie jungle, où il deviendrait impossible de distinguer le vrai du faux.
Sources : développez.com / macgeneration.com
Image : By The people from the Tango! project (The Tango! Desktop Project) [Public domain or Public domain], via Wikimedia Commons
Aucun commentaire