Les certificats SSL (Secure Sockets Layer) et EVSSL (Extended Validation) créés par DigiNotar, sont reconnus par les navigateurs Internet et ont pour fonction de vérifier que les internautes se trouvent bien sur le site qu'ils pensent visiter. L'entreprise hollandaise est une autorité de certification (CA), c'est à dire qu'elle vend des certificats numériques pour les propriétaires de sites web légitimes. Mais DigiNotar a émis, à son insu, un certificat numérique pour le domaine google.com, une erreur qui pourrait permettre à un attaquant doué d'intercepter les mails d'un utilisateur. Lundi, Google a fait savoir que le certificat frauduleux avait été utilisé pour cibler des internautes en Iran. Mais le géant de l'internet a précisé qu'une fonctionnalité de sécurité, implémentée dans son navigateur Chrome, permettait de détecter le certificat et d'avertir les utilisateurs.
DigiNotar, filiale de l'entreprise de sécurité Vasco Data Security International, a fait savoir qu'un audit effectué le 19 juillet lui a permis de découvrir que son infrastructure chargée d'émettre les certificats, avait été compromise. Hier, en fin d'après-midi, Jochem Binst, responsable de la communication de Vasco, a déclaré dans une interview que les pirates avaient créé de faux certificats pour « plusieurs dizaines » de sites web, affirmant que la plupart avait été annulé. « Mais le certificat numérique pour google.com - émis le 10 Juillet - n'a été activé que dimanche, » a déclaré Jochem Binst. C'est la Dutch Computer Emergency Response Team qui a informé Vasco que ce certificat n'avait pas encore été révoqué. « DigiNotar a annulé le certificat, lundi, » a déclaré le responsable de la communication de Vasco.
Interrogations sur le modus operandi et révocation
On ne sait pas comment les pirates ont réussi à s'introduire dans l'infrastructure utilisée par DigiNotar pour émettre les certificats, ni combien de temps a duré l'intrusion, mais une vérification est en cours. « Nous effectuons actuellement des vérifications supplémentaires et nous pourrons formuler nos conclusions, probablement d'ici la fin de la semaine, » a déclaré Jochem Binst. « Jusqu'à la fin de l'enquête, DigiNotar ne vendra pas de nouveaux certificats numériques, » a ajouté le directeur de la communication. Les clients de DigiNotar sont essentiellement des entreprises hollandaises. Celles-ci risquent d'avoir quelques coups durs dans les jours à venir : Google, Mozilla et Microsoft ont révoqué ou sont en train de retirer à DigiNotar son autorité de certification. Cela signifie que les personnes qui visiteront des sites utilisant les certificats de DigiNotar verront probablement apparaître un avertissement informant que le site n'est pas fiable et qu'il ne devrait pas être consulté.
Jochem Binst a indiqué que DigiNotar en avait informé ses clients. Une solution pour régler le problème consisterait à remplacer les certificats de ces sites internet par des certificats émis par le gouvernement néerlandais. Mais celui-ci n'a pas précisé qui pourrait procéder à un tel échange. Une autre option consisterait à contacter les éditeurs des principaux navigateurs internet et de leur demander d'effectuer des modifications techniques pour continuer à honorer les certificats de DigiNotar.
Jochem Binst n'a pas pu dire, à combien de clients, DigiNotar vendait ses certificats numériques. Mais selon la déclaration faite par Vasco, sur les six premiers mois de l'année, les revenus de sa filiale relatifs à son activité de certification s'élevaient à moins de 100 000 euros.
Google, pas la seule victime du hack de certificats SSL
Selon la société néerlandaise DigiNotar, qui émet des certificats numériques utilisés ensuite pour l'authentification des sites web, plusieurs dizaines de sites, en plus de Google, ont été affectés par un problème de sécurité suite à l'intrusion dans ses serveurs.