20/09/2011

Le cas DigiNotar dans le monde bancaire

L'autorité de certification SSL DigiNotar a été piratée, des faux certificats SSL circulent dans la nature. Tout le monde de la sécurité est au courant. Cela signifie concrètement que les internautes ne peuvent plus faire confiance aux sites web qui ont un certificat HTTPS acheté chez Diginotar.

Face à cette catastrophe, les éditeurs ont retiré les certificats émis par DigiNotar des navigateurs Internet Explorer, Firefox, Chrome, Safari, etc. Les attaques SSL Man-in-the-middle qui ont immédiatement suivies le vol des certificats racines ont toutes été perpétuées en Iran. Nous sommes maintenant en sécurité, ouf (we are secure...).

Mais qu'en est-il du monde bancaire et monétique ? 
La grande majorité des échanges entre les acteurs monétique est chiffrée par SSL (FTPS, SCP...XFB). Or, dans le cas de ces échanges techniques (par opposition aux échanges entre un site web et un internaute), le retrait des certificats DigiNotar compromis ne sera pas fait du jour au lendemain (la complexité, contrats , d'arrêt de production, la crainte que "ca ne marche plus").

Des attaques Man-In-The-Middle dans les échanges B2B sont-elles envisageables ?
En théorie "oui" et c'est le risque principal lorsqu'une autorité de certification SSL est compromise (cf L'affaire Comodo). Ces attaques demeurent peu probables, mais, avec les très grosses affaires de piratage cette année et les récentes déclarations du supposé pirate de Comodo et Diginotar, le risque ne doit pas être ignoré.

Que faire pour Diginotar ?
Il faut s'assurer que les certificats émis par Diginotar ne sont plus trustés. D'après le rapport (très clair) de l'équipe CERT chargée de l'investigation forensics (société Fox-IT), les certificats racines suivants ont été compromis : 
- DigiNotar Cyber CA

- DigiNotar Extended Validation CA
- DigiNotar Public CA - G2
- DigiNotar Public CA 2025
- Koninklijke Notariele Beroep

Aucun commentaire:

Enregistrer un commentaire