Vols de certificats Gmail, Hotmail, Yahoo et Skype

Dévoilée seulement huit jours après les faits, une attaque a permis à des pirates de dérober des certificats authentifiant les plus grands sites de la planète. L'œuvre d'un hacker iranien isolé, qui revendique les faits, ou celle du gouvernement iranien, comme le pense Comodo, la victime de ce piratage ?

FUD : Fear, Uncertainity and Doubt. Quelques jours après le vol de certificats SSL valides chez Comodo, les spéculations vont bon train pour déterminer l'identité et les motivations des pirates à l'origine du méfait. Voici deux semaines, des assaillants sont parvenus, à l'aide d'un identifiant et d'un mot de passe valides - ceux d'un revendeur -, à dérober neuf certificats SSL à Comodo. Problème : les certificats en question étaient destinés à six sites en vue, dont Hotmail, Gmail, Skype et Yahoo Mail. Rapidement, dans ses déclarations, le Pdg de Comodo, Melih Abdulhayoglu, met en cause le gouvernement iranien.

D'abord, l'attaque originelle émanait de ce pays. Ensuite, selon Melih Abdulhayoglu, "l'attaque a été trop bien exécutée pour que ce soit l'œuvre de cybercriminels. Elle était très bien préparée et les assaillants savaient exactement ce qu'ils voulaient récupérer", a-t-il expliqué à la presse américaine. De plus, un des certificats dérobés au moins a été utilisé pour légitimer un faux site de Yahoo, hébergé par un fournisseur de service iranien, selon Comodo.

La piste du hacker isolé

Cet enchaînement des faits accréditerait, selon Comodo, la thèse d'un gouvernement iranien dérobant des certificats pour créer des copies de sites Internet, afin de piéger les opposants au régime. Réorientés vers ces faux sites, et rassurés par la présence des certificats apparemment légitimes, ceux-ci ont pu confier leurs login et mots de passe, ouvrant ainsi l'accès à leurs communications électroniques. Dimanche toutefois, un hacker iranien isolé, qui dit avoir 21 ans, a revendiqué être l'auteur du vol. Ce hacker explique avoir décompilé un fichier DLL trouvé sur le serveur hébergeant le service de vente de certificats (InstantSSL.it) et y avoir trouvé le login et le mot de passe d'un revendeur. Dans un second message, ce hacker publie une partie de la DLL décompilée.

Si la thèse de l'acte isolé suscite des débats chez les experts en sécurité - certains affichant leur scepticisme -, l'hypothèse d'une action du gouvernement iranien a créé une mini-polémique au sein des milieux spécialistes de la sécurité. Comodo a en effet attendu huit jours avant de dévoiler l'attaque (elle n'est officielle que depuis le 23), utilisant ce délai pour analyser l'attaque, révoquer les certificats et prévenir les concepteurs de navigateurs afin qu'ils publient une mise à jour bloquant les certificats en question. Une démarche critiquée tant par Jacob Appelbaum, un chercheur de l'Université de Washington, que par Mikko Hypponen, chercheur en chef au sein de l'éditeur F-Secure. Selon eux, le délai a en effet mis en danger les opposants au régime.

Une divulgation trop tardive

Une vision que conteste Comodo. Pour l'émetteur de certificats, il n'y avait aucune raison de dévoiler l'attaque tant que les navigateurs n'étaient pas patchés. Chose faite désormais, puisque Google, Microsoft et Mozilla ont publié un correctif ajoutant les neuf certificats à leur liste noire. D'autre part, selon Comodo, seul un des certificats dérobés a été utilisé. Et il ne s'agissait que d'un test, selon Melih Abdulhayoglu.

Des arguments que rejette Jacob Appelbaum, qui explique que les seules personnes à même d'exploiter les certificats dérobés étaient les assaillants eux-mêmes et que le délai entre les faits et leur divulgation ne pouvait avoir comme résultat que de retarder la détection des certificats compromis par les utilisateurs.

En complément :

- Stuxnet : une attaque israëlo-américaine contre l'Iran, soupçonne le New York Times

- L’Iran se dote d’une unité de lutte contre la cybercriminalité

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close