Décidément la Hollande devient une berezina pour les autorités de certification SSL. Après Diginotar en septembre dernier, c'est au tour de l'opérateur KPN d'arrêter de proposer ses fameux certificats. Simona Petescu, porte-parole du groupe batave, a expliqué « lors d'un audit sur le site web public, plusieurs indications ont montré que quelqu'un l'avait préparé en vue d'une attaque en déni de service (DDOS) comme il y a quatre ans ». Elle ajoute pour rassurer que, « l'infrastructure backend utilisé pour générer les certificats ne semble pas avoir été affectée, même si une enquête est en cours dont les résultats seront connus prochainement ». Selon elle, « il ne semble pas que des faux certificats SSL aient été créés, mais par précaution nous avons cessé d'émettre des certificats et averti le ministère de l'Intérieur néerlandais. »

Les autorités intermédiaires de plus en plus ciblées

La division KPN Corporate Market est connue comme une autorité intermédiaire de certification, l'une des centaines d'entreprises et d'organisations du monde entier qui peuvent délivrer des certificats SSL pour le compte des autorités principales. Ces entreprises sont particulièrement prisées par les pirates qui peuvent émettre des faux certificats pour amener les internautes vers des sites en apparence vrais, mais capables de soustraire des informations personnelles et sensibles.

La semaine dernière, une autorité intermédiaire de certification malaisienne nommée Digicert a révoqué 22 de ses propres certificats en raison de la faiblesse des clés de cryptage RSA. Dès jeudi, Mozilla et Microsoft ont supprimé tous les certificats émis par la société.