DigiNotar était une autorité de certification néerlandaise fondée en 1998 et disparue en 2011 à la suite d'un piratage informatique .
Histoire
L'entreprise est créée en 1998 par Dick Batenburg, un notaire néerlandais, en partenariat avec la Koninklijke Notariële Beroepsorganisatie, une organisation notariale néerlandaise.
Le 10 janvier 2011 , l'entreprise est rachetée par VASCO Data Security International[ 1] , qui deviendra plus tard OneSpan [ 2] .
Piratage
Le 10 juillet 2011 , un hacker parvient à délivrer un certificat omnidomaine (wildcard) pour Google . Ce certificat est alors utilisé en Iran pour une attaque de l'homme du milieu à l'encontre de services Google[ 3] .
Le 28 août 2011 , des utilisateurs de Google Chrome en Iran rapportent des erreurs de certificat lors d'accès à des services Google[ 4] . L'implémentation du HTTP Public Key Pinning dans Chrome a permis d'émettre un avertissement aux utilisateurs, car bien que valide, le certificat utilisé n'était pas authentique[ 5] .
Au total, 531 certificats frauduleux sont alors découverts[ 6] . Ils concernent entre autres Yahoo! , WordPress , Mozilla , AOL , la Central Intelligence Agency ou encore The Tor Project [ 7] . DigiNotar indique ne pas être en mesure de garantir leur révocation en totalité[ 8] .
Le 30 août 2011 , VASCO publie un communiqué à la suite de l'incident. L'entreprise admet avoir détecté l'intrusion le 19 juillet 2011 , sans pour autant rendre l'information publique. Le communiqué ajoute également : « VASCO ne s'attend pas à ce que l'incident de sécurité à DigiNotar ait un impact significatif sur les revenus futurs de l'entreprise »[ 9] .
Le 2 septembre 2011 , Mozilla révoque le certificat racine DigiNotar[ 10] dans toutes ses versions de Firefox . Quelques jours plus tard, Microsoft [ 11] , Apple [ 12] et Google prennent des décisions identiques.
Faillite
Le 20 septembre 2011 , moins de trois mois après l'attaque, VASCO annonce la faillite de DigiNotar[ 13] .
Notes et références
↑ (en) « VASCO Data Security International, Inc. Announces the Acquisition of DigiNotar B.V., a Market Leader in Internet Trust Services in The Netherlands » , sur www.vasco.com (version du 17 septembre 2011 sur Internet Archive )
↑ (en) « Vasco Data Security Changes Name To OneSpan, Pays $55M For Identity Verification Vendor » (consulté le 17 janvier 2021 )
↑ (en) « Fraudulent certificate triggers blocking from software companies » , sur www.h-online.com (version du 28 avril 2012 sur Internet Archive )
↑ (en) « An update on attempted man-in-the-middle attacks » (consulté le 17 janvier 2021 )
↑ (en) « What The DigiNotar Security Breach Means For Qt Users » , sur www.meegoexperts.com (version du 24 mars 2012 sur Internet Archive ) . Le certificat frauduleux pour Gmail est posté sur pastebin (en) « Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011 » , sur pastebin.com (version du 10 mai 2012 sur Internet Archive )
↑ (en) « How a 2011 Hack You’ve Never Heard of Changed the Internet’s Infrastructure » (consulté le 17 janvier 2021 )
↑ (nl) « Mogelijk nepsoftware verspreid naast aftappen Gmail » (consulté le 17 janvier 2021 )
↑ (nl) « DigiNotar: mogelijk nog valse certificaten in omloop » , sur webwereld.nl (version du 10 février 2012 sur Internet Archive )
↑ (en) « DigiNotar reports security incident » , sur www.vasco.com (version du 31 août 2011 sur Internet Archive )
↑ (en) « DigiNotar Removal Follow Up » (consulté le 17 janvier 2021 )
↑ (en) « Microsoft flips 'kill switch' on all DigiNotar certificates » (consulté le 17 janvier 2021 )
↑ (en) « Apple Silent on DigiNotar Certificates Hack » (consulté le 17 janvier 2021 )
↑ (en) « VASCO Announces Bankruptcy Filing by DigiNotar B.V. » , sur www.vasco.com (version du 23 septembre 2011 sur Internet Archive )