Risque
- Contournement de la politique de sécurité
Systèmes affectés
Tous les systèmes utilisant des certificats SSL pour l'authentification, en particulier les navigateurs.
Résumé
Des certificats frauduleux ont été émis par une autorité de certification et peuvent servir à authentifier à tort des ordinateurs.
Description
Une vulnérabilité de l'autorité de certification (CA) DigiNotar a permis l'émission frauduleuse de certificats sur plusieurs domaines.
L'un de ces faux certificats a été utilisé pour monter une attaque trompant les internautes.
Solution
Certains éditeurs ont supprimé se la liste des certificats préinstallés dans leurs logiciels, ou simplement ou desactivé, le certificat de l'autorité DigiNotar.
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Billet de l'US-CERT du 30 août 2011 http://www.us-cert.gov/current/#fraudulent_diginotar_ssl_certificate
- Bulletin de sécurité Apple HT4920 du 09 septembre 2011 : http://support.apple.com/kb/HT4920
- Bulletin de sécurité Debian DSA 2299 du 31 août 2011 : http://www.debian.org/security/2011/dsa-2299
- Bulletin de sécurité Microsoft 2607712 du 29 août 2011 : http://www.microsoft.com/france/technet/security/advisory/2607712.mspx
- Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-34 du 30 août 2011 : http://www.mozilla.org/security/announce/2011/mfsa2011-34.html
- Bulletin du GOVCERT.NL du 31 août 2011 : http://www.govcert.nl/english/service-provision/knowledge-and-publication/factsheets/factsheet-fraudulent-issued-security-certificat-discovered.html
