Aller au contenu

DigiNotar

Un article de Wikipédia, l'encyclopédie libre.

DigiNotar
Création 1998
Disparition 2011
Siège social Drapeau des Pays-Bas Pays-Bas
Activité Infrastructure à clés publiques
Produits Certificat electroniqueVoir et modifier les données sur Wikidata
Société mère OneSpan
Site web www.diginotar.nl

DigiNotar était une autorité de certification néerlandaise fondée en 1998 et disparue en 2011 à la suite d'un piratage informatique.

L'entreprise est créée en 1998 par Dick Batenburg, un notaire néerlandais, en partenariat avec la Koninklijke Notariële Beroepsorganisatie, une organisation notariale néerlandaise.

Le , l'entreprise est rachetée par VASCO Data Security International[1], qui deviendra plus tard OneSpan[2].

Le , un hacker parvient à délivrer un certificat omnidomaine (wildcard) pour Google. Ce certificat est alors utilisé en Iran pour une attaque de l'homme du milieu à l'encontre de services Google[3].

Le , des utilisateurs de Google Chrome en Iran rapportent des erreurs de certificat lors d'accès à des services Google[4]. L'implémentation du HTTP Public Key Pinning dans Chrome a permis d'émettre un avertissement aux utilisateurs, car bien que valide, le certificat utilisé n'était pas authentique[5].

Au total, 531 certificats frauduleux sont alors découverts[6]. Ils concernent entre autres Yahoo!, WordPress, Mozilla, AOL, la Central Intelligence Agency ou encore The Tor Project[7]. DigiNotar indique ne pas être en mesure de garantir leur révocation en totalité[8].

Le , VASCO publie un communiqué à la suite de l'incident. L'entreprise admet avoir détecté l'intrusion le , sans pour autant rendre l'information publique. Le communiqué ajoute également : « VASCO ne s'attend pas à ce que l'incident de sécurité à DigiNotar ait un impact significatif sur les revenus futurs de l'entreprise »[9].

Le , Mozilla révoque le certificat racine DigiNotar[10] dans toutes ses versions de Firefox. Quelques jours plus tard, Microsoft[11], Apple[12] et Google prennent des décisions identiques.

Le , moins de trois mois après l'attaque, VASCO annonce la faillite de DigiNotar[13].

Notes et références

[modifier | modifier le code]
  1. (en) « VASCO Data Security International, Inc. Announces the Acquisition of DigiNotar B.V., a Market Leader in Internet Trust Services in The Netherlands », sur www.vasco.com (version du sur Internet Archive)
  2. (en) « Vasco Data Security Changes Name To OneSpan, Pays $55M For Identity Verification Vendor » (consulté le )
  3. (en) « Fraudulent certificate triggers blocking from software companies », sur www.h-online.com (version du sur Internet Archive)
  4. (en) « An update on attempted man-in-the-middle attacks » (consulté le )
  5. (en) « What The DigiNotar Security Breach Means For Qt Users », sur www.meegoexperts.com (version du sur Internet Archive). Le certificat frauduleux pour Gmail est posté sur pastebin(en) « Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011 », sur pastebin.com (version du sur Internet Archive)
  6. (en) « How a 2011 Hack You’ve Never Heard of Changed the Internet’s Infrastructure » (consulté le )
  7. (nl) « Mogelijk nepsoftware verspreid naast aftappen Gmail » (consulté le )
  8. (nl) « DigiNotar: mogelijk nog valse certificaten in omloop », sur webwereld.nl (version du sur Internet Archive)
  9. (en) « DigiNotar reports security incident », sur www.vasco.com (version du sur Internet Archive)
  10. (en) « DigiNotar Removal Follow Up » (consulté le )
  11. (en) « Microsoft flips 'kill switch' on all DigiNotar certificates » (consulté le )
  12. (en) « Apple Silent on DigiNotar Certificates Hack » (consulté le )
  13. (en) « VASCO Announces Bankruptcy Filing by DigiNotar B.V. », sur www.vasco.com (version du sur Internet Archive)