Hack festif du premier janvier : C.A. va mal dans les certificats

On avait presque perdu l’habitude de ce genre de piratage, depuis la vague de compromission qui avait touché RSA ou celle, très probablement orchestrée par les services US, qui avait servi à construire Stuxnet. Pourtant, tout début janvier, l’équipe de sécurité de Google a découvert l’existence d’un certificat falsifié émis par deux autorités secondaires inféodées à TurkTrust Inc (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org). Ces certificats ont été utilisés pour conduire notamment des attaques « man in the middle ». Microsoft a immédiatement réagi et banni les certificats incriminés de ses listes de créance et publié une alerte. Parmi les certificats forgés, un *.google.com a été émis, accompagné d’une multitude de Google suivis d’une extension nationale… dont Googl.fr. Mozilla a également réagi avec célérité. Symantec donne d’ailleurs une liste détaillée des actions et alertes émises par TurkTrust ainsi que de tous les certificats douteux. Durant quelques heures, il n’a pas été possible de déterminer si cette émission de certificats anormaux était ou non le fruit d’une simple erreur de l’autorité de certification… le doute n’est plus permis, Microsoft insiste « we are aware of active attacks using a fraudulent digital certificate ». La révocation des certificats est donc non seulement nécessaire mais également urgente.