Les documents d'Edward Snowden montrent que la NSA et son homologue britannique GCHQ écoutaient aussi les échanges en vol, détaille Le Monde.

L'Image du jour

Les documents d'Edward Snowden montrent que la NSA et son homologue britannique GCHQ écoutaient aussi les échanges en vol, détaille Le Monde.

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Microsoft blackliste un certificat SSL frauduleux pour live.fi

Dans son bulletin de sécurité 3046310 publié hier, Microsoft avertit qu'un certificat numérique non autorisé circule. (cliquer sur l'image / crédit : D.R.)

Dans son bulletin de sécurité 3046310 publié hier, Microsoft avertit qu'un certificat numérique non autorisé circule. (cliquer sur l'image / crédit : D.R.)

Dans un bulletin d'alerte, Microsoft prévient que la diffusion d'un certificat SSL non autorisé pour le domaine live.fi peut diriger les internautes vers du contenu frauduleux et les exposer à des attaques de phishing ou de type man-in-the-middle.

Microsoft a livré une mise à jour pour placer en liste noire un certificat SSL frauduleux fourni pour l’un de ses noms de domaine, live.fi, par un tiers non autorisé. « Le certificat délivré irrégulièrement peut être utilisé pour usurper les contenus, mener des attaques de phishing, ou intercepter des données HTTPS cryptées via des attaques man-in-the-middle sur les noms de domaines live.fi et www.live.fi de Microsoft », indique la firme de Redmond dans son avis de sécurité publié lundi.

L’update modifie la liste des certificats de confiance Certificate Trust List (CTL) incluse dans Windows et inscrit le certificat frauduleux en liste noire. Les systèmes exécutant Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2 recevront automatiquement et de manière transparente la mise à jour. Windows Vista, Windows 7, Windows Server 2008 R2 et les systèmes Windows Server 2008 pourront être mis automatiquement à jour, à condition d’avoir préalablement installé les mises à jour KB2677070 ou KB2813430 qui ajoutaient la révocation automatique des certificats. Dans le cas contraire, et pour les clients exécutant Windows Server 2003, la mise à jour KB2917500 révoquant le certificat live.fi frauduleux doit être faite manuellement.

Contrôler plus strictement les adresses administrateurs

Le certificat qui a été émis par Comodo, provient d’un tiers non autorisé qui a pu enregistrer un compte de messagerie sur le domaine de live.fi en utilisant un « nom d'utilisateur privilégié ». Ensuite, il s’est servi de ce même compte de messagerie pour demander le certificat, selon Microsoft. Un document publié par le support technique de Comodo explique qu’avant de délivrer un certificat pour un nom de domaine particulier, la personne qui en fait la demande doit prouver qu’elle est propriétaire du domaine ou qu’elle le contrôle.

La « validation de commande de domaine » se fait de plusieurs façons : une des méthodes consiste à envoyer un courriel à l'une des adresses de messagerie admin génériques du genre admin@, administrator@, postmaster@, hostmaster@ ou webmaster@. On ne se sait pas lequel de ces noms d'utilisateur le tiers non autorisé a réussi à inscrire sur le domaine live.fi. Cependant, l'incident devrait servir d'avertissement à tous les propriétaires de domaine, et les inciter à contrôler plus strictement ces adresses « administrateur ».

Difficile d’annuler un certificat SSL émis à tort

Même si les utilisateurs appliquent la mise à jour Microsoft, le risque associé à ce certificat ne disparaît pas complètement. En effet, toutes les applications ne se basent pas sur la liste des certificats de confiance de Windows pour valider les certificats des sites Web. Si des navigateurs comme Internet Explorer et Google Chrome se référent bien à la liste CTL, ce n’est pas le cas de Firefox qui a son propre référentiel de certificats, que Mozilla met à jour directement. L'incident montre une fois de plus que, dès qu’un certificat SSL est émis à tort ou frauduleusement, il devient difficile de l’annuler. Certes, l'autorité de certification émettrice (CA) peut marquer le certificat révoqué, mais le processus de vérification de ces révocations n’est pas géré de bout en bout.

Pour s’assurer qu’un certificat a bien été révoqué, on peut soit vérifier les listes de révocation de certificats (CRL) publiées régulièrement par les autorités de certification, soit utiliser le protocole Online Certificate Status Protocol (OCSP). Celui-ci interroge les serveurs OCSP exploités par l’AC et permet de voir en temps réel l'état de révocation d'un certificat. Chaque approche a ses inconvénients : les navigateurs laissent passer les connexions SSL même en cas d’échec des contrôles CRL ou OCSP au niveau du réseau, car les retours d’erreur ont des origines diverses, par exemple, une panne des serveurs du CA ou une congestion du réseau sur le trajet. Cette approche est qualifiée d’échec « soft ». Le problème, c’est que les attaques « man-in-the-middle » peuvent aussi bloquer les contrôles CRL et OCSP, rendant la méthode tout à fait inutile. Pour cette raison, quand ils sont identifiés, les éditeurs de navigateurs doivent inscrire manuellement les certificats frauduleux en liste noire et déployer une mise à jour de cette liste pour leurs navigateurs.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
25 Janvier 2002 n°923S
Publicité
Publicité