Certificats SSL

Suivi des évènements du piratage de DigiNotar

Networking4all a rassemblé tous les articles qu'il a pu trouvé concernant le piratage de DigiNotar qui a eu lieu sur les derniers mois. Dans ce suivi, nous avons créé une vision globale des évènements les plus importants. Si vous rencontrez une erreur ou avez quelque chose à ajouter pour ce time-line, vous êtes le bienvenu à nous le faire savoir. Nous mettrons quotidiennement à jour cette page.

L'entreprise néerlandaise DigiNotar a émis des centaines de certificats falsifiés depuis début juillet. DigiNotar a seulement remarqué ce piratage des semaines après les faits et a révoqué un certain nombre de faux certificats, mais n'a fait la remarque à personne. Depuis le 4 août, des centaines de milliers d'ordinateurs iraniens ont été piégés en faisant croire qu'ils se connectaient à Google. La sécurité des certificats pour le gouvernement néerlandais ne peut plus être garantie. Une enquête à ce sujet a révélé que la propre sécurité de DigiNotar avait énormément de lacune. 

DigiNotar, créé en 1997, a été récemment racheté (le 10 janvier 2011) par l'entreprise de sécurité Américaine VASCO. DigiNotar émet des certificats de sécurité, tout particulièrement pour les agences gouvernementales.

Le 6 juin 2011

Premières possibles tentatives d'avoir eu accès à l'Autorité de Certification Néerlandaise DigiNotar (source: rapport de la Fox-IT).

Le 17 juin 2011

Plusieurs serveurs de DigiNotar sont piratés (source: rapport de la Fox-IT).

Le 19 juin 2011

Un piratage dans le système informatique de DigiNotar est détecté (source: rapport de la Fox-IT).

Le 10 juin 2011 

Le premier faux Certificat SSL est créé (source: le rapport de la Fox-IT).

Le 19 juillet 2011

DigiNotar émet le certificat pour *.google.com qui sera plus tard utilisé pour une attaque de type man-in-the-middle en Iran (source: rapport de la Fox-IT).

Le 22 juillet 2011

DigiNotar lance une enquête au sujet du piratage
Plus d'un mois après le piratage, DigiNotar fait appel à une entreprise externe pour commencer une enquête au sujet de l'attaque. La décision a été faite d'étouffer l'affaire et le crime n'est pas informé (source: rapport de la Fox-IT).

Les 27 et 28 juillet 2011

Le Certificat SSL frauduleux pour *.google.com est utilisé pour une attaque de type in-the-middle en Iran (source: rapport de la Fox-IT).

Le 4 août 2011

A partir de ce moment, le Certificat SSL frauduleux pour *.google.com est utilisé dans une attaque de type man-in-the-middle de grande envergure en Iran. Cela sera prouvé dans le rapport de recherche de la Fox-IT (source: rapport de la Fox-IT).

Le 27 août 2011

Le certificat falsifié de gmail.com est découvert par un Iranien
Après un mois, un utilisateur internet d'Iran découvre que gmail.com fonctionne avec un faux certificat. La découverte est faite grâce à une alerte de sécurité à partir de son navigateur Google Chrome. Cette personne fait part de ceci dans son forum Google. Le certificat SSL a été créé le 10 juillet 2011.

Le 29 août 2011

Le piratage a été détecté sur Mozilla
Le piratage a été découvert sur le forum Mozilla. Paul van Brouwershaven et Adam Langley ont notifié DigiNotar. Tout d'abord, le lien de la discussion sur le forum est fermé au public. 

Govcert
Govcert.nl, l'organisation qui fournit du support en sécurité informatique pour les agences gouvernementales aux Pays-Bas, est avertit de la situation par son homologue Allemand, CERT-BUND. Govcert notifie DigiNotar.

DigiNotar reconnaît l'attaque sur leur systèmes
Après la création du faux Certificat SSL, ce dernier devient connu du public, DigiNotar annule le Certificat SSL pour *.google.com. DigiNotar admet l'attaque sur leurs systèmes. Par le biais de plusieurs autres mesures, un audit a été mis en place par une partie extérieure, ils annulent tous les Certificats SSL frauduleux découverts. Malheureusement, le Certificat SSL pour *.google.com “nous a échappé”. DigiNotar émet des Certificats SSL aussi bien que des Certificats SSL pour PKIoverheid (PKIgovernment). La déclaration est émise que les certificats PKIoverheid n'étaient jamais en danger parce qu'ils sont complètement séparés. La maison mère VASCO indique que la situation a peu d'impact sur leur entreprise. Peu d'informations supplémentaires ont été indiquées sur les effects possibles de la création du faux Certificat SSL.

Le 30 août 2011

Les utilisateurs de Gmail sont surveillés
Il est indiqué que les utilisateurs de Gmail ont été surveillés par le gouvernement iranien via l'utilisation d'un Certificat SSL falsifié qui a été émis par DigiNotar. Une autre enquête sur DigiNotar a été lancée par l'entreprise de sécurité Fox-IT. DigiNotar a fait déclaraion de presse au sujet de la faille de sécurité.

DigiNotar avait déjà été piraté avant
Des preuves ont été trouvées indiquant que le portail de DigiNotar a été piraté dans le passé. Le piratage visible le plus ancien remonte à 2009. Cependant, il n'y a pas de preuve que ces précédentes attaques soient en lien avec le récent piratage.

Les entreprises suppriment le CA de leurs navigateurs
Microsoft, Mozilla et Chrome déclarent tous qu'ils vont supprimer DigiNotar de leurs navigateurs. DigiNotar émet plusieurs Certificats SSL aux agences gouvernementales, parmi lesquelles le Certificat SSL pour DigiD.nl. Dans la dernière version de test de Firefox, le Certificat SSL pour DigiD n'était déjà plus fonctionnel. Que ce soit DigiNotar qu'aussi bien le certificat PKIoverheid émis par DigiNotar, ces derniers ne sont plus considérés comme sûrs.

Logius indique que les certificats PKIoverheid sont considérés comme fiables
L'agence gouvernementale Logius, une subdivision du Département National, indique que les certificats PKIoverheid émis par DigiNotar sont toujours considérés comme certains. Il n'y a pas de raison d'assumer que les certificats PKIoverheid frauduleux aient été émis par DigiNotar, y compris le certificat pour DigiD. Ce processus est complètement séparé par la création de Certificats SSL normaux par DigiNotar. La supression de DigiNotar de Firefox et Internet Explorer n'auraient aucune conséquence pour les certificats PKIoverheid qui ont été émis par l'entreprise sous le nom de Staat der Nederlanden Root CA (Racine CA du Gouvernement Néerlandais). Logius déclare que ces certificats sont toujours considérés comme sûrs.

Le 31 août 2011

Mise à jour de Chrome
Google lance la nouvelle version de Chrome (13.0.782.218) dans laquelle l'Autorité de Certification Néerlandaise DigiNotar a été supprimée de leur navigateur. Cela ne semble pas avoir de conséquences pour DigiD. Le gouvernement Néerlandais a réussi à discuter avec les entreprises de navigateurs concernant la supression de l'Autorité de Certification DigiNotar et pas les certificats PKIoverheid émis par DigiNotar. Ceci a eu lieu pendant qu'il n'y avait pas certitude si le(s) pirate(s) ont eu accès à la création de certificats PKIoverheid.

Déjà 247 Certificats SSL frauduleux ont été émis 
Dans une analyse effectuée par la dernière version de Chrome, le nombre total de Certificats SSL frauduleux découverts est de 247. Cela contredit les précédents propos faits par DigiNotar, qui a indiqué que seulement une "dizaine" de Certificats SSL frauduleux ont été émis.

Enquête de la Fox-IT
L'entreprise de sécurité Fox-IT va publier les résultats de leur enquête le plus tôt possible.

Le 1er septembre 2011

Conseil: bannir complètement DigiNotar
Roel Schouwenberg, le senior chercheur néerlandais sur les virus de Kaspersky Lab, l'entreprise d'anti-virus russe indique que le gouvernement néerlandais devrait suivre le chemin emprunté par Microsoft, Mozilla et Google en bannissant complètement DigiNotar de la chaîne PKI. Les experts de sécurité ont qualifié la situation de "très inquiétante" toute la semaine.

De multiples grands sites visés 
Il est indiqué qu'en plus de Google, d'autres grands sites web internet ont été visés, parmi lesquels yahoo.com, mozilla.org, wordpress.org, torproject.org, et la plateforme de blog iranienne Baladin, ainsi que addons.mozilla.org et Windows update. Il est également officiellement confirmé que le Tor Project a été visé. Le Tor Project est en désacord avec l'accord fait entre Mozilla et le Gouvernement néerlandais.

Logius envoit un e-mail en demandant aux agences gouvernementales de recensement
Logius, l'agence gouvernementale envoie un e-mail aux agences gouvernementales en faisant la requête d'un inventaire sur les conséquences qu'une révocation immédiate devrait avoir sur tous les certificats PKIoverheid émis par DigiNotar. Selon l'email, il n'y a pas d'indication que les certificats PKIoverheid de DigiNotar aient été visés. Cependant, un inventaire a déjà été fait sur si les conséquences de tous les certificats PKIoverheid DigiNotar devraient être considérés comme non sûrs.

Le 2 septembre 2011

Les certificats PKIoverheid émis par DigiNotar sont de toute façon complètement révoqués 
Il y a des pourparlers sur une mise à jour par les entreprises de navigateur pour révoquer l'Autorité de Certification PKIoverheid DigiNotar, dépendant de l'enquête qui est actuellement tenue. Cela affectera plusieurs sites web et services de gouvernements Néerlandais.

Nouveautés NOS News
Le gouvernement commence à reconnaître la gravité de la situation et un article sur le sujet est montré sur le NOS News.

Demandes officielles 
PVV, le parti politique de droite émet plusieurs demandes officielles aux Secrétariats d'Etat pour la Défense, Affaires Etrangères, Departement de l'Intérieur et de la Justice au sujet de "la grosse erreur de DigiNotar'. 

Reponsable pour négligence 
Une enquête est en cours afin de savoir si DigiNotar peut être tenu responsable pour négligence ou pas.

Le 3 septembre 2011

DigiNotar perd le vote de confiance du gouvernement  
Le ministre Donner indique que la sécurité de centaines de sites web gouvernementaux ne peuvent pas être garantis et que le gouvernement a perdu toute confiance envers DigiNotar. PVV, le parti politique souhaite savoir quelles seront les conséquences pour DigiD et autres services électroniques.

Enquête de la Fox-IT, la sécurité est sévèrement déficiante
L'enquête faîte par la Fox-IT montre que DigiNotar a laissé passer plusieurs occasions et que sa propre sécurité fait désormais sévèrement défaut. La revendication effectuée par DigiNotar est qu'il y a 2 systèmes séparés pour la création de leur propres Certificats SSL et les certificats PKIoverheid se sont avérés faux. Ces derniers étaient connectés au même réseau. Cela signifie que la possibilité que les certificats PKIoverheid aient été compris n'est pas à exclure. Une solution est trouvée dans le remplacement immédiat de tous les certificats DigiNotar par d'autres certificats PKI. 

Nouvelle version de Mozilla Firefox
Mozilla va aussi supprimer les certificats PKIoverheid émis par DigiNotar de Firefox, ce qui causera des problèmes lors de l'utilisation d'un grande nombre de sites web gouvernementaux, y compris DigiD.nl. Mozilla indique ne pas faire confiance à DigiNotar et que ce dernier ne serait pas capable de confiner le problème.

Nouvelle version Google Chrome
Google a aussi publié la dernière version de Chrome (13.0.782.220), qui marque aussi les Certificats SSL PKIoverheid émis par DigiNotar comme non sûrs.

Les conséquences de la surveillance d'Internet par 300 000 Iraniens
Le NOS a précédemment indiqué que l'attaque a été effectuéé par des pirates iraniens. Des enquêtes poussées montrent que les certificats falsifiés peuvent avoir de lourdes conséquences pour les 300 000 personnes en Iran, parce ce que leurs internets ont été surveillés.

Le 4 septembre 2011

Update Microsoft
Microsoft décide également d'exclure les Certificats SSL PKIoverheid DigiNotar de leur navigateurs comme une Autorité de Certification sûre.

VNO-NCW fait appel à "ne pas faire confiance à DigiNotar'
VNO-NCW, l'organisation commerciale la plus large des Pays-Bas, avertit tous les commerces de remplacer leurs certificats de sécurité DigiNotar par d'autres certificats issus d'autres Autorités de Certification. Govcert, l'équipe de réponse des incidents et de la sécurité informatique du gouvernement néerlandais, approuve le conseil.

Le Gouvernement met en garde au sujet des déclarations d'impôt 
Le gouvernement avertit le public de ne pas utiliser les formes digitales des déclarations de taxe quand leur navigateur leur donne un avertissement. Avec ceci, le gouvernement néglige le fait qu'un avertissement de Certificat SSL dans le navigateur ne puisse pas garantir quoi que ce soit étant donné que les pirates souhaitent que leurs certificats apparaissent légaux. Seulement une mise à jour de navigateur donnera des garanties.

Le lien aux précédentes attaques envers d'autres Autorités de Certification
Les messages laissés par les pirates informatiques montrent qu'une connection entre l'attaque sur les revendeurs Comodo en début d'année et l'attaque sur DigiNotar.

Le 5 septembre 2011

Microsoft: "Windows Update est sûr"
Windows indique que les certificats émis par DigiNotar pour *.microsoft.com et *.windowsupdate.com ne constituent pas de danger pour la sécurité des utilisateurs Windows.

VASCO dénonce DigiNotar
Dans une déclaration envoyée aux investisseurs, VASCO rompt formellement ses liens avec DigiNotar.

Mozilla donne un conseil aux Iraniens: "mettre à jour vos mots de passe"
Mozilla donne le conseil aux Iraniens de ne pas seulement mettre à jour leur navigateurs, mais aussi de modifier leur mots de passe.

Lettre de la House of Representatives
Dans une lettre, le Secrétaire d'Etat du Service de l'Intérieur informe la House of Representatives de l'attaque digitale sur DigiNotar et le rapport sur la situation par la Fox-IT.

Le 6 septembre 2011

Un étudiant de 21 ans revendique les attaques
Un étudiant de 21 ans qui a précédemment piraté le fournisseur de Certificats de sécurité SSL, indique être également derrière l'attaque sur l'entreprise néerlandaise DigiNotar. Sur le site internet pastebin.com, il se dit responsable des attaques sur DigiNotar ainsi que celles sur Comodo, et également l'attaque sur Startcom. Le pirate informatique, qui opère sous le nom de Comodohacker, indique dans son plaidoyer qu'il a toujours accès à 4 autres Autorités de Certification majeures. Cela permettrait au pirate iranien, selon ses dires, d'être toujours en mesure de générer de faux certificats.

Mise à jour Windows reportée
Suite à la demande du gouvernement néerlandais, Microsoft a reporté d'une semaine la publication de la mise à jour qui supprimerait complètement DigiNotar d'Internet Explorer, et seulement aux Pays-Bas. Cette mise à jour sera publiée dans le monde entier. Cela permettrait au gouvernement d'avoir plus de temps pour remplacer tous leurs Certificats SSL. La mise à jour peut être manuellement effectuée via ce lien.

Le 7 septembre 2011

D'autres Autorités de Certifications également piratées ?
Le pirate iranien qui a revendiqué avoir piraté Comodo aussi bien que DigiNotar, affirme avoir agit seul. Il indique aussi qu'il a accès à l'Autorité de Certification GlobalSign. GlobalSign prend cette menace très au sérieux et a démarré une enquête relative à ce sujet. L'entreprise a aussi décidé de momenténament stopper l'émission de Certificats SSL. Plus tard dans la journée, il a décidé de coopérer avec la Fox-IT, parce qu'ils ont de l'experience au sujet du piratage de DigiNotar.

Autorités locales 
Plusieurs autorités locales ont décidé d'arrêter leurs sites ou ont demandé à leurs utilisateurs de ne pas se connecter.

OPTA
L' OPTA, une agence gouvernementale en charge de renforcer la loi Néerlandaise sur la télécommunication, enquête sur si la façon de DigiNotar de gérer les certificats frauduleux était correcte ou pas.

Le 8 septembre 2011

Adobe accepte toujours les Certificats SSL DigiNotar
Le site internet webwereld.nl indique qu'Adobe est en train d'enquêter sur le piratage de DigiNotar qui a permis à des certificats falsifiés d'être émis. L'entreprise a décidé, contrairement à Microsoft, Mozilla et Google, de ne pas bannir DigiNotar car il n'a pas encore vu de preuves que les certificats frauduleux ont été utilisés en lien avec les produits Adobe.

Problèmes possibles pour les autorités locales lors de l'installation du patch Microsoft
Les Autorités locales peuvent avoir certains problèmes avec leurs certificats DigiNotar quand elles essaient d'installer le patch Microsoft qui sera publié mardi 13 septembre. Il est possible que certains processus au sein d'autorités locales, et ceux avec les partenaires affiliés, ne seront pas capable d'être automatiquement traités.

Le 9 septembre 2011

Google avertit les victimes iraniennes
Les utilisateurs internet iraniens qui ont été exploité par DigiNotar et ayant obtenu des Certificats SSL sont personnellement avertis par Google. Par exemple, quand les iraniens se connectent sur Gmail, ils auront la requête de changer leurs mots de passe.

DigiNotar enlevé par Adobe
Après qu'Adobe n'ait pas pris des mesures hier, il le fait aujourd'hui. A partir d'aujourd'hui, Adobe va supprimer les Certificats SSL de DigiNotar de ses propres produits. 

Apple n'a pas encore de patch DigiNotar
Apple est la seule entreprise n'ayant toujours pas de patch pour OS X, iOS ou Safari pour bloquer les certificats DigiNotar. Microsoft, Mozilla, Chrome et Opera ont déjà développé un patch.

Le 11 septembre 2011

Les téléphones portables toujours vulnérables
Les utilisateurs d'outils mobiles comme les smartphones et les tablettes doivent faire attention lors de l'utilisation de sites internet sécurisés par des Certificats SSL DigiNotar. Des patch doivent être développés pour sécuriser ces outils à partir de certificats DigiNotar. Jusqu'à lors, les certificats DigiNotar seront compatibles.

Le 12 septembre 2011

Menace de Blackout de la part du Gouvernement Néerlandais
Une majeure partie des services publics aux Pays-Bas ont presque été au point mort via un blackout, selon des recherches effectuées par le NRC Handelsblad. “Le centre des impôts ne serait pas en mesure de recevoir de l'argent, les allocations chomâge et familiales ne seront pas payées.”

Le 13 septembre 2011

Mise à jour de Microsoft
A la fin de la journée, Microsoft sort une mise à jour aux Pays-Bas. La mise à jour bloquera tous les certificats DigiNotar. Les sites internet qui ont toujours des certificats DigiNotar afficheront un message d'alerte en fin d'après-midi.

Le 14 septembre 2011

Des centaines de sites web gouvernementaux utilisent toujours des certificats DigiNotar
Quelques semaines après la publication du piratage, plus de 300 sites internet gouvernementaux utilisent toujours des certificats DigiNotar.

OPTA indique que les certificats DigiNotar ne sont pas fiables
Le régulateur OPTA indique dans une déclaration qu'il ne fait plus du tout confiance aux certificats DigiNotar et que l'Autorité de Certification doit avertir ses clients de cela. Le Ministre de l'Intérieur et des Relations du Royaume a hérité de la gestion opérationnelle des systèmes de certification de DigiNotar.

Le 19 septembre 2011

DigiNotar opte pour les certificats Comodo
Etant donné que les certificats DigiNotar ne seront plus du tout issus, DigiNotar a décidé de migrer vers Comodo. Choix étrange dans la mesure où les certificats Comodo ont déjà été piratés en début d'année.

Le 20 septembre 2011

Erreur de mise à jour Microsoft
Microsoft a fait une erreur lors de la mise à jour des systèmes Windows. Ce dernier doit refaire la mise à jour de l'update de DigiNotar. La semaine dernière, la mise à jour délivrée ne contenait pas les certificats qui sont actuellement utilisés pour les fuites en Iran.

DigiNotar en faillite
La Cour d'Haarlem a déclaré DigiNotar en faillite. Un curateur a été nommé pour gérer la situation.

mercredi 7 septembre 2011
Follow Networking4all on Twitter
Twitter Hyves Facebook Google Buzz MySpace LinkedIn Bookmark and Share