DigiNotar
DigiNotar | |
Création | 1998 |
---|---|
Disparition | 2011 |
Siège social | Pays-Bas |
Activité | Infrastructure à clés publiques |
Produits | Certificat electronique |
Société mère | OneSpan |
Site web | www.diginotar.nl |
modifier - modifier le code - voir Wikidata |
DigiNotar était une autorité de certification néerlandaise fondée en 1998 et disparue en 2011 à la suite d'un piratage informatique.
Histoire
[modifier | modifier le code]L'entreprise est créée en 1998 par Dick Batenburg, un notaire néerlandais, en partenariat avec la Koninklijke Notariële Beroepsorganisatie, une organisation notariale néerlandaise.
Le , l'entreprise est rachetée par VASCO Data Security International[1], qui deviendra plus tard OneSpan[2].
Piratage
[modifier | modifier le code]Le , un hacker parvient à délivrer un certificat omnidomaine (wildcard) pour Google. Ce certificat est alors utilisé en Iran pour une attaque de l'homme du milieu à l'encontre de services Google[3].
Le , des utilisateurs de Google Chrome en Iran rapportent des erreurs de certificat lors d'accès à des services Google[4]. L'implémentation du HTTP Public Key Pinning dans Chrome a permis d'émettre un avertissement aux utilisateurs, car bien que valide, le certificat utilisé n'était pas authentique[5].
Au total, 531 certificats frauduleux sont alors découverts[6]. Ils concernent entre autres Yahoo!, WordPress, Mozilla, AOL, la Central Intelligence Agency ou encore The Tor Project[7]. DigiNotar indique ne pas être en mesure de garantir leur révocation en totalité[8].
Le , VASCO publie un communiqué à la suite de l'incident. L'entreprise admet avoir détecté l'intrusion le , sans pour autant rendre l'information publique. Le communiqué ajoute également : « VASCO ne s'attend pas à ce que l'incident de sécurité à DigiNotar ait un impact significatif sur les revenus futurs de l'entreprise »[9].
Le , Mozilla révoque le certificat racine DigiNotar[10] dans toutes ses versions de Firefox. Quelques jours plus tard, Microsoft[11], Apple[12] et Google prennent des décisions identiques.
Faillite
[modifier | modifier le code]Le , moins de trois mois après l'attaque, VASCO annonce la faillite de DigiNotar[13].
Notes et références
[modifier | modifier le code]- (en) « VASCO Data Security International, Inc. Announces the Acquisition of DigiNotar B.V., a Market Leader in Internet Trust Services in The Netherlands », sur www.vasco.com (version du sur Internet Archive)
- (en) « Vasco Data Security Changes Name To OneSpan, Pays $55M For Identity Verification Vendor » (consulté le )
- (en) « Fraudulent certificate triggers blocking from software companies », sur www.h-online.com (version du sur Internet Archive)
- (en) « An update on attempted man-in-the-middle attacks » (consulté le )
- (en) « What The DigiNotar Security Breach Means For Qt Users », sur www.meegoexperts.com (version du sur Internet Archive). Le certificat frauduleux pour Gmail est posté sur pastebin(en) « Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011 », sur pastebin.com (version du sur Internet Archive)
- (en) « How a 2011 Hack You’ve Never Heard of Changed the Internet’s Infrastructure » (consulté le )
- (nl) « Mogelijk nepsoftware verspreid naast aftappen Gmail » (consulté le )
- (nl) « DigiNotar: mogelijk nog valse certificaten in omloop », sur webwereld.nl (version du sur Internet Archive)
- (en) « DigiNotar reports security incident », sur www.vasco.com (version du sur Internet Archive)
- (en) « DigiNotar Removal Follow Up » (consulté le )
- (en) « Microsoft flips 'kill switch' on all DigiNotar certificates » (consulté le )
- (en) « Apple Silent on DigiNotar Certificates Hack » (consulté le )
- (en) « VASCO Announces Bankruptcy Filing by DigiNotar B.V. », sur www.vasco.com (version du sur Internet Archive)