« J'en suis encore plus persuadé qu'avant » a déclaré Melih Abdulhayoglu, le PDG et fondateur de Comodo, société spécialiste de la sécurité, mais qui est aussi l'une des centaines d'autorités de certification autorisées à émettre des certificats SSL (Secure Socket Layer) certificats. Ces derniers sont chargés d'authentifier l'identité des sites, afin de montrer, par exemple, que Google est vraiment Google. En mars dernier, Comodo avait confirmé le piratage de son réseau et le vol de 9 certificats, y compris ceux liés à Google, Microsoft et Yahoo. A l'époque, Melih Abdulhayoglu avait  déjà déclaré qu'il croyait que ces attaques étaient soutenues par le gouvernement iranien. « Nous pensons qu'elles sont politiquement motivées, les attaques sont commandées et financées par un Etat » avait souligné le dirigeant.

La récente attaque menée contre DigiNotar, une autorité néerlandaise, n'a fait que renforcer la conviction de Melih Abdulhayoglu sur l'implication des autorités iraniennes. « Nous venons d'assister à la plus grande attaque « man-in-the-middle » de l'histoire », précise le dirigeant. Un rapport d'enquête a effectivement montré qu'un certificat pour google.com avait permis d'espionner 300 000 iraniens. L'éditeur avait alors demandé aux utilisateurs de Gmail en Iran de réinitialiser leur mot de passe.

Un doute sur l'identité du pirate et un financement probablement étatique

Et puis un pirate du nom de Comodohacker qui se présente comme un jeune iranien de 21 ans a revendiqué le piratage et le vol de certificats. Il s'agit du même nom qui avait déjà revendiqué l'intrusion au sein de Comodo en mars dernier. Le pirate a indiqué au New York Times dans un courriel  qu'il avait agi seul. Toutefois il a reconnu qu'il « partageait certains certificats avec des gens en Iran ».

Pour mener des attaques dites « man-in-the-middle », les pirates doivent implanter des malwares au sein des PC ou compromettre les DNS d'un ou plusieurs fournisseurs de services Internet, ou plus probablement, selon des experts, avec l'aide des ISP  ou la coopération d'un gouvernement qui contrôle ces fournisseurs, comme l'Iran.

Melhi Abdulhayoglu estime que la dernière solution est la plus probable et d'expliquer « les pirates ont besoin de se connecter à quelqu'un [en Iran] pour faire ce qu'ils ont fait ». Sur les revendications de Comodohacker, le dirigeant pense qu'il ne faut pas s'arrêter au nom du pirate. « Il pourrait y avoir plusieurs personnes utilisant le compte pastebin [site où le pirate a laissé ses revendications] et non pas une seule » analyse le PDG. Un avis partagé par Eddy Nigg, de StartCom, une autorité de certification Israélienne qui a été piratée au mois de juin dernier, mais aucun des certificats n'a été volé. « Le ou les pirates ne sont probablement pas iranien, ni un étudiant de 21 ans » souligne Eddy Nigg.

Comodohacker a nié qu'il était payé pour voler les certificats. Mais ni Melhi Abdulhayoglu ou Eddy Nigg l'ont cru. Le PDG de Comodo pense que le pirate n'a pas été directement parrainé par l'Etat iranien dans le sens où il n'a pas été employé par le gouvernement iranien, mais ce dernier a certainement dû le payer ou d'autres pour voler les certificats. Eddy Nigg va dans le même sens « je crois que le (s) pirate (s) ne sont pas directement liés à l'Iran, en aucune façon, mais tout simplement des criminels qui se font payer pour chaque certificat volé ».

Illustration: Melhi Abdulhayoglu, PDG de Comodo

Crédit Photo: D.R