Faux certificats SSL Diginotar : le pirate de Comodo revendique l'attaque

Attaque zero day, intrusion dans un réseau protégé... Le pirate détaille sa technique, et annonce pouvoir émettre d'autres faux certificats SSL. Son lien avec les autorités iraniennes est vraisemblable.

Le pirate "Comodo" refait surface. Après s'être introduit dans les systèmes de l'autorité de certification Comodo et revendiqué la génération frauduleuse de plusieurs certificats SSL en mars dernier, celui ou ceux qui signent ses messages du nom de "ComodoHacker" viennent de s'attribuer le piratage de Diginotar, autre autorité de certification.

Mais, ce n'est pas tout : le pirate, qui se dit iranien, prétend avoir eu accès aux systèmes de quatre autres autorités de certification. Il en cite deux : StartCom, et GlobalSign.  Pire, il annonce avoir toujours accès au système de cette dernière.

 

Leçons de piratage

Dans son dernier message, le pirate donne plusieurs indices pour montrer la sophistication de son attaque. Il estime même ainsi donner des leçons de piratage aux Anonymous et aux LulzSec.

"ComodoHacker" aurait ainsi pu s'octroyer tous les privilèges dans un système "pleinement corrigé et mis à jour", suggérant ainsi l'usage d'une faille Zero-day. Le pirate prétend même en avoir exploité plusieurs. Il aurait également pu "accéder à la couche réseau derrière les serveurs Web" de Diginotar, "trouver des mots de passe", "contourner son nCipher NetHSM" (machine de cryptage) et son gestionnaire de certificat RSA, accéder à distance à un réseau interne non connecté à Internet, "déjouer un pare feu qui bloquait tous les ports sauf 80 et 443", et "bien plus encore".

Pour prouver ses dires, "ComodoHacker" laisse le couple identifiant - mot de passe d'un administrateur. Diginotar n'a pas commenté cette affirmation.

Enfin, "ComodoHacker" annonce qu'il "en dira plus bientôt", et qu'il peut émettre de nouveaux de faux certificats. Enfin, il indique préparer la divulgation du "plus gros piratage de l'année".

 

Parmi les clients de Diginotar : le gouvernement hollandais.

Conséquences
 

Ce piratage de Diginotar aura impacté de nombreux acteurs, et non des moindres. Google, qui aura été informé du détournement des certificats par un utilisateur iranien de ses services, le 28 août, a mis à jour son navigateur Chrome samedi. Ce dernier pouvait déjà détecter que les certificats Diginotar n'étaient pas ceux normalement utilisés par Google.

Depuis, le navigateur ne reconnaît plus l'autorité de Diginotar. Mozilla l'a succédé mardi. Microsoft lui a ensuite emboité le pas. Les internautes utilisant un navigateur à jour seront désormais alertés lorsqu'ils chercheront à ouvrir des pages Web certifiées par DigiNotar.

Cependant, Google  n'a pas chercher à révoquer les certificats de Diginotar pour son OS mobile. Même politique chez Apple et RIM. Quant à GlobalSign, l'autre autorité mentionnée par ComodoHacker, elle explique prendre "très aux sérieux" les affirmations du pirate. Elle a dû annoncer cesser "temporairement la délivrance de tous ses certificats tant que l'enquête interne n'est pas terminée". Selon Netcraft, GlobalSign est le cinquième plus gros fournisseur de certificats SSL.

Enfin le gouvernement hollandais, qui faisait appel à DigiNotar pour certifier plusieurs de ses sites, y compris celui gérant les impôts, a annoncé désormais recourir à une autre autorité de certifications.

 

ComodoHacker lié au gouvernement iranien ?

Reste une question en suspens. Pour pouvoir piéger près de 300 000 d'adresses IP iraniennes avec un faux certificat, l'attaque devait également re router le trafic internet de presque tout un pays vers de faux sites Google, certifiés par Diginotar. ComodoHacker, s'il existe réellement, en avait-il la possibilité ? "Non", pense Mikko Hypponen, responsable de la recherche chez F-Secure, "mais il a pu donner les certificats à quelqu'un qui, lui, le pouvait".