Piratage de DigiNotar: la piste iranienne se confirme  

Ultime rebondissement d’un été bien plus animé qu’à l’accoutumée : DigiNotar reconnaissait, le 30 août dernier, la compromission de son infrastructure technique par un ou des pirates. Et, dès lors, l’émission de certificats SSL frauduleux. Ces mêmes certificats qui servent à garantir l’identité d’un serveur lors de l’établissement d’une connexion sécurisée, chiffrée, par exemple à un site Web bancaire ou de commerce électronique. Il s'agit du moyen idéal, donc, pour un cybercriminel de se mettre en place un site Web ayant l’apparence d’un site Web légitime pour tromper l’internaute innocent et intercepter sa communication ou simplement récolter ses données personnelles d’identification. Une menace plus que sérieuse alors que les certificats frauduleux concernent des services aussi populaires que ceux de Google. Mais pas seulement.

Selon Fox-IT, qui a conduit un audit à la demande de DigiNotar, quelque 531 certificats frauduleux auraient été produits à l’occasion de ce piratage.  

L’Occident est sauf, les Iraniens peuvent trembler

Mais non, l’Occident ne semble pas être la cible. L’opération est plus précise que cela. Selon Fox-IT, «la liste des domaines et le fait que 99 % des utilisateurs [victimes des certificats frauduleux, NDLR] soit en Iran suggère que l’objectif des pirates est d’intercepter des communications privées en Iran ». Dès la fin août, un internaute iranien tirait la sonnette d’alarme sur les forums de Google, soupçonnant son fournisseur d’accès à Internet de chercher à espionner ses communications pour le compte du gouvernement local. 

Un gouvernement qui pourrait, ainsi, contourner certains moyens de protection des communications mis en oeuvre par les opposants au régime de Téhéran : hors d’Iran, selon Fox-IT, les adresses IP des victimes étaient principalement des «noeuds de sortie du réseau TOR [un réseau de communication chiffré en pair-à-pair, NDLR], de proxies et de serveurs VPN ». Bref, la manifestation de personnes cherchant manifestement à protéger leurs échanges de toute interception. Pour TrendMicro non plus, d’ailleurs, ça ne fait pas de doute : la cible, ce sont des Iraniens.

Près de 300 000 utilisateurs des services de Google pourraient avoir été ainsi compromis. Peut-être plus, peut-être moins : c’est en fait le nombre d’adresses IP fixes cherchant à se connecter au domaine Google.com qu’a recensé Fox-IT en examinant les rapports d’activité des serveurs de DigiNotar. Et le cabinet de conseil en sécurité de souligner que les pirates ont aussi pu intercepter des cookies de connexion et accéder à des informations de localisation stockées par le service Latitude, ou à des documents hébergés par le service Google Docs. La portée de l’opération apparaît difficile à imaginer.

DigiNotar, une victime... parmi combien ?

Selon Fox-IT, il est possible que des certificats frauduleux n’aient pas encore été découverts. Ce qui laisse planer un doute certain sur les choix retenus pour assurer la sécurité des connexions entre serveurs et clients sur Internet. Surtout, DigiNotar n’est pas le premier à être attaqué de la sorte. Comodo l’avait précédé au printemps dernier. Encore une autorité de certification. Celles-ci font donc manifestement des cibles de choix. Roel Shuwenberg, de Kaspersky, sur son blog, s’interroge d’ailleurs : «avec quelque 500 autorités de certification dans le monde, on imagine mal que seul DigiNotar soit compromis.» Pour lui, cela ne fait pas de doute : cet incident est plus important que Stuxnet. Le pirate qui a infiltré l’infrastructure de DigiNotar semble d’ailleurs décidé à lui donner raison : il a récemment revendiqué son méfait et... celui de Comodo. L’occasion pour lui d’annoncer qu’il récidivera : «je vous avais bien dit que j’avais accès à la plupart des autorités de certification, vous me croyez maintenant ?»