Importante Attaque sur les Sites SSL

Une grave brèche de sécurité est en train de faire plein de petits sur internet. Il s’agit d’une émission massive de faux certificats SSL ! En pratique, ceci permet à de diriger des visiteurs sur de faux sites mais ayant une adresse commençant par https:// et vous affichant le fameux cadenas. 

Quand vous vous connectez à un site comme gmail, hotmail ou autre, votre navigateur se base sur un certificat SSL que le site lui présente. Ce certificat fonctionne comme une pièce d’identité et garantit que vous êtes en train de dialoguer avec le bon site. Les certificats ne sont pas émis par les sites eux-mêmes mais par une série d’émetteurs qu’on appelle des tiers de confiance. Dans chaque navigateur les signatures des émetteurs de confiance sont codées.

Prenons un exemple concret d’une attaque : quand vous entrez gmail.com sur votre navigateur, votre système d’exploitation demande au serveur DNS de votre fournisseur d’accès de lui donner l’IP correspondant à gmail.com Le plus souvent, cette demande n’a pas lieu parce que l’IP sera dans votre cache DNS stockée pendant un temps qu’on appelle TTL. Puis, votre navigateur affiche la page et reçoit aussi un certificat depuis le serveur hébergeant gmail.com Dans le certificat sont codés l’IP du serveur et aussi le nom de domaine. Jusque là est le fonctionnement normal. Imaginons maintenant qu’une personne fabrique un faux site gmail.com et à l’aide d’un virus modifie votre cache DNS. Dans ce cas, quand vous tapez gmail.com, vous arrivez sur le faux site. Normalement, si le site n’a pas de certificat valide, vous allez avoir des alertes de sécurité vous indiquant ceci. Maintenant voila, un émetteur officiel de certificats en a émis un tas aux noms des domaines les plus utilisés ! Donc pour les sites les plus populaires, il existe aujourd’hui de faux certificats permettant des attaques très vicieuses.

L’émetteur de ces certificats est une entreprise néerlandaise : DigiNotar. Elle a émis des certificats à des gens malintentionnés au nom de : google, microsoft, yahoo, skype, twitter, live, Facebook et même CIA, Mossad et SIS. Au début du scandale on parlait d’un certificat, puis deux douzaines, puis plus de 250, puis plus de 531…

Cette brèche vient aussi montrer la fragilité du système SSL. Il y a aujourd’hui plus de 500 compagnies qui ont le droit de fournir ces certificats et la moindre qui foire met tout le système en péril. 

[source]