23 000 certificats HTTPS Digicert supprimés après la fuite de clés privées - SoftMaroc - Toutes les actualités informatique et Hi-Tech
Tendance
1 mars 2018

23 000 certificats HTTPS Digicert supprimés après la fuite de clés privées



Le revendeur de certificats HTTPS Trustico et l'autorité de certification Digicert ont informé hier leurs clients communs que plus de 23 000 certificats de sécurité seront rendus inutilisables d'ici 24 heures. Parti d'un e-mail contenant les clés privées de ces certificats, l'erreur pourrait en fait venir d'une guerre de territoires entre les deux entreprises.

Qui penserait qu’une guerre de territoires pourrait affecter le secteur des certificats SSL / TLS ? Depuis hier, près de 23000 certificats HTTPS délivrés par l’autorité de certification Digicert sont en passe d’être révoqués. D’après nos confrères de The Register, un e-mail contenant les clés privées de ces certificats a été envoyé à Digicert par son revendeur Trustico.

Or, ces clés sont censées ne pas être diffusées puisqu’elles pourraient être utilisées par des pirates pour faire passer un de leurs sites malveillants pour légitime. Par mesure de précaution, ces 23 000 certificats ont donc dû être annulés.

Tout commence début février quand le revendeur Trustico indique au chef de produit de Digicert, Jeremy Rowley, que des certificats avaient été « compromis » et devaient être annulés. L’autorité de certification demande alors de plus amples explications.

Le revendeur lui répond être en possession d’une copie des clés privées de ces certificats. Digicert demande des preuves. Trustico lui envoie donc hier un mail avec la liste de ces mots de passe en guise de preuve. Ce qui a obligé l’autorité de certification à déclencher l’annulation de tous les certificats dont elle a reçu les clés.

« Actuellement, nous ne révoquons les certificats que si nous avons reçu les clés privées », indique Jeremy Rowley à The Register. « Il y a des certificats supplémentaires que le revendeur a demandé de révoquer, mais DigiCert a décidé de ne pas tenir compte de cette demande jusqu'à ce que nous recevions une preuve de compromis ou plus d'informations sur la cause de cet incident. »

Pour avertir les internautes de la révocation massive à venir, l'entreprise RapidSSL de DigiCert a envoyé des alertes par e-mail aux clients de Trustico, auxquelles The Register a pu avoir accès.

Des certificats pas très sécurisés

Selon le chef de produit de Digicert, Trustico n’a jamais expliqué comment ses équipes sont entrées en possession de ces clés privées. L’entreprise a donc envoyé un mail aux clients de Trustico et publié un billet de blog pour les appeler à obtenir de nouveaux certificats. Ce à quoi le revendeur a très mal réagi puisqu’il affirme qu’il n’avait « jamais informé [Digicert] que des clefs privées avaient été compromises »…

Le chef de produit de Trustico soutient qu’il aurait évoqué des problèmes de sécurité susceptibles de compromettre son compte Symantec. Cette activité de certification HTTPS, rachetée par Digicert en août dernier, pose vraisemblablement de sérieux problème de sécurité puisque Trustico a annoncé mi-février abandonner la vente de ses certificats SSL.

Les deux entreprises ont annoncé qu’elles offriraient gratuitement des certificats de remplacement aux personnes touchées par la fuite. Cependant les certificats Symantec offerts par Digicert ne seront effectifs que très peu de temps.

En septembre dernier, Google a annoncé qu’à partir de la mi-avril, les utilisateurs de Chrome qui visiteront un site dont le certificat SSL / TLS émis par Symantec est antérieur au 1er juin 2016 ou postérieur au 1er décembre 2017 verront apparaître un message de Google stipulant que quelqu’un essaie peut-être de voler leurs informations.

Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site lemondeinformatique.fr par Nicolas Certes que nous remercions. il nous a semblé pertinent de vous en faire profiter.
23 000 certificats HTTPS Digicert supprimés après la fuite de clés privées Reviewed by Softciel on mars 01, 2018 Rating: 5 Le revendeur de certificats HTTPS Trustico et l'autorité de certification Digicert ont informé hier leurs clients communs que plus de 23...