En mettant la main sur Concur pour 8,3 milliards de dollars, Bill McDermot signe l'acquisition la plus chère de toute l'histoire de SAP.

L'Image du jour

En mettant la main sur Concur pour 8,3 milliards de dollars, Bill McDermot signe l'acquisition la plus chère de toute l'histoire de SAP.

Région Champagne-Ardenne : le secteur du numérique aussi en pleine effervescence !

Dernier Dossier

Région Champagne-Ardenne : le secteur du numérique aussi en pleine effervescence !

La Champagne-Ardenne, seulement une région viticole et céréalière ! Et bien non, la région est aussi une source d'inspiration pour le numérique. Troye...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Certificats SSL DigiNotar : L'Iran à l'origine d'une opération d'espionnage informatique (MAJ)

Certificats SSL DigiNotar : L'Iran à l'origine d'une opération d'espionnage informatique (MAJ)

Selon un premier rapport publié par l'entreprise de sécurité Fox-IT, près de 300 000 adresses IP uniques localisées en Iran se sont connectées au site de recherche Google.com avec un faux certificat numérique émis par l'autorité de certification (CA) hollandaise DigiNotar. Le jeune hacker iranien à l'origine de l'affaire Comodo au mois de mars dernier a revendiqué le vol des certificats SSL.

Le faux certificat, livré le 10 juillet par le CA néerlandais, suite au piratage de ses serveurs, a été révoqué le 29 août. « Nous avons identifié environ 300 000 adresses IP uniques ayant envoyé des requêtes vers google.com, » indique Fox-IT dans son document. À partir du 4 août, le nombre de requêtes a rapidement augmenté, et ce jusqu'au 29 août, date à laquelle le certificat a été révoqué. Plus de 99 % de ces adresses IP ont été localisées en Iran. « La liste de ces adresses sera remise à Google. Le géant de l'internet pourra alors informer les utilisateurs que, pendant cette période, leurs emails ont pu être interceptés, » ajoute Fox-IT. « Pas seulement l'email lui-même, mais aussi le cookie de connexion, » indique encore l'entreprise de sécurité. Avec ce cookie, un pirate peut se connecter directement à la boîte aux lettres Gmail de l'utilisateur et à d'autres services de Google auxquels il est abonné. « Le cookie de connexion reste valide pendant une période plus longue, » explique Fox-IT, qui conseille aux utilisateurs iraniens « au moins de se déconnecter et de se reconnecter au service de Google, mais mieux encore, de changer leurs mots de passe de connexion. »

Toujours selon ce rapport, le reliquat d'adresses IP restantes, et repérées pendant cette période, venaient principalement de nodes Tor-exit, de proxies et d'autres serveurs VPN (réseau privé virtuel), mais quasiment pas de connexions directes. Ces conclusions ont été tirées de l'analyse des logs de requêtes OCSP (Online Certificate Status Protocol). Les navigateurs actuels effectuent un contrôle OCSP dès que le navigateur se connecte en mode SSL (Secure Sockets Layer) à un site web sécurisé par le protocole HTTPS (Hypertext Transfer Protocol Secure). Tor est un réseau distribué anonyme utilisé par certains internautes pour éviter d'être pistés ou pour se connecter à des services de messagerie instantanée et à d'autres services dans le cas où ils sont bloqués par leurs fournisseurs de services Internet locaux.

L'objectif : intercepter des communications iraniennes

Au total, 531 certificats numériques ont été émis pour des domaines appartenant à google.com, la CIA et le Mossad israélien. Selon Fox-IT, « compte tenu des domaines visés et du fait que 99 % des internautes ont été localisés en Iran, on peut penser que l'objectif des pirates était d'intercepter des communications privées en Iran. » Le 29 août, Google avait fait état de rapports signalant une « tentative d'attaques SSL de type man-in-the-middle (MITM) » contre les utilisateurs de Google. Ces attaques sont utilisées pour intercepter le trafic entre les internautes et les services cryptés de Google ou autres. Les personnes visées se trouvent principalement en Iran. L'attaquant a utilisé un faux certificat SSL émis par DigiNotar, révoqué depuis, comme l'a confirmé Google dans un message publié sur son blog.

Trend Micro, une autre entreprise de sécurité, a fait remarquer, hier, que le nom domaine validation.diginotar.nl, utilisé par les navigateurs Internet pour vérifier l'authenticité des certificats SSL émis par DigiNotar, avait été essentiellement chargé par des internautes néerlandais et iraniens jusqu'au 30 août. DigiNotar, dont les clients se trouvent principalement aux Pays-Bas, avait la qualité d'autorité de certification, c'est-à-dire l'autorisation d'émettre des certificats SSL. « Normalement, ce nom de domaine doit être essentiellement demandé par des internautes néerlandais et éventuellement par quelques utilisateurs situés d'autres pays, mais certainement pas par un aussi grand nombre d'Iraniens, » a déclaré Feike Hacquebord, chercheur spécialisé dans le piratage informatique chez Trend Micro. L'analyse des données effectuée par le Trend Smart Protection Network, révèle que le 28 août, un nombre important d'utilisateurs Internet situés en Iran ont chargé l'URL du certificat d'authentification SSL de DigiNotar. Mais à partir du 30 août, ce trafic a disparu, et le 2 septembre tout le trafic iranien avait disparu.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité