Le pirate de Comodo met en ligne le certificat SSL frauduleux de Mozilla

ComodoHacker, qui revendique la génération frauduleuse de 9 certificats SSL de grands services Web, a mis en ligne celui de la plate-forme de téléchargement d'extensions Mozilla. Le FBI et police italienne enquêtent.

L'acte de piratage sans précédent qui a visé l'autorité de certification Comodo - et dont les conséquences auraient pu être désastreuses pour nombre de services Web de premier plan (Gmail, Hotmail, Yahoo mail, Skype...) - vient de connaître un croustillant rebondissement.

Après avoir publié plusieurs informations pour tenter de prouver qu'il était bien l'auteur de l'attaque, ComodoHacker est passé à la vitesse supérieure. Ainsi, le pirate iranien n'a pas hésité à publié et mettre en partage sur un site de téléchargement public, la clé privé et le certificat frauduleux relatif à la plate-forme de téléchargements d'extensions de Mozilla.

"Pour tous ces idiots dont il y a fort à parier que le QI est en-dessous de 75 et qui pensent que je ne suis pas le pirate, voici le certificat relatif à Mozilla dont vous pourrez voir que le numéro est le même que celui publié sur le Web", fait savoir le pirate.

Avant d'en remettre, non sans humour, une couche : "Je me fais vraiment du souci pour toutes ces personnes qui ont encore des doutes [sur mon implication dans l'attaque] et surfant constamment sur Internet : ont-elles déjà consulté un médecin ?".

Le pirate a étudié les algorithmes de chiffrement pendant 6 ans et est un as de la programmation ARM

La clé privée RSA publiée par le pirate de Comodo correspond bien au faux certificat SSL public relatif à la plate-forme de téléchargements d'extensions de Mozilla a pu confirmer à Zdnet Paul Mutton, chercheur en sécurité chez Netcraft. " Seul Comodo, sa filiale ou bien le pirate peuvent avoir eu connaissance d'une telle clé secrète ".

Le pirate raconte par ailleurs avoir étudié, avec d'autres personnes, les algorithmes de chiffrement depuis 6 ans, et avoir également étudié la programmation pour processeurs AVR et ARM.

Il indique aussi être parvenu, avec des complices, à installer un détecteur de frappes (keylogger) sur le serveur InstantSS du revendeur italien de Comodo GlobalTrust, par lequel il s'est introduit pour générer les faux certificats, en vue de suivre le comportement de l'administrateur du site.

Le pirate qui a également publié un extrait du code source DLL du serveur utilisé pour générer les faux certificats. Pour l'heure, le FBI qui enquête pour savoir comment un pirate a pu leurrer ainsi une entreprise et parvenir à générer des certificats frauduleux pour Google, Yahoo, Microsoft et d'autres sites Web majeurs. Une enquête à laquelle les forces de l'ordre italiennes participent en raison de l'implication dans l'affaire de l'italien GlobalTrust.

Nul doute en tout cas qu'ils devraient avoir du fil à retordre pour mettre à jour les techniques utilisées pour cet acte de piratage et encore plus certainement pour mettre la main sur le (ou les) responsable.

Mozilla / Pirate