DigiNotar

Histoire

L'entreprise est créée en 1998 par Dick Batenburg, un notaire néerlandais, en partenariat avec la Koninklijke Notariële Beroepsorganisatie, une organisation notariale néerlandaise.

Le , l'entreprise est rachetée par VASCO Data Security International[1], qui deviendra plus tard OneSpan[2].

Piratage

Le , un hacker parvient à délivrer un certificat omnidomaine (wildcard) pour Google. Ce certificat est alors utilisé en Iran pour une attaque de l'homme du milieu à l'encontre de services Google[3].

Le , des utilisateurs de Google Chrome en Iran rapportent des erreurs de certificat lors d'accès à des services Google[4]. L'implémentation du HTTP Public Key Pinning dans Chrome a permis d'émettre un avertissement aux utilisateurs, car bien que valide, le certificat utilisé n'était pas authentique[5].

Au total, 531 certificats frauduleux sont alors découverts[6]. Ils concernent entre autres Yahoo!, WordPress, Mozilla, AOL, la Central Intelligence Agency ou encore The Tor Project[7]. DigiNotar indique ne pas être en mesure de garantir leur révocation en totalité[8].

Le , VASCO publie un communiqué à la suite de l'incident. L'entreprise admet avoir détecté l'intrusion le , sans pour autant rendre l'information publique. Le communiqué ajoute également : « VASCO ne s'attend pas à ce que l'incident de sécurité à DigiNotar ait un impact significatif sur les revenus futurs de l'entreprise »[9].

Le , Mozilla révoque le certificat racine DigiNotar[10] dans toutes ses versions de Firefox. Quelques jours plus tard, Microsoft[11], Apple[12] et Google prennent des décisions identiques.

Faillite

Le , moins d'un mois après l'attaque, VASCO annonce la faillite de DigiNotar[13].

Notes et références
  1. (en) « VASCO Data Security International, Inc. Announces the Acquisition of DigiNotar B.V., a Market Leader in Internet Trust Services in The Netherlands » (version du 17 septembre 2011 sur l'Internet Archive), sur www.vasco.com
  2. (en) « Vasco Data Security Changes Name To OneSpan, Pays $55M For Identity Verification Vendor » (consulté le )
  3. (en) « Fraudulent certificate triggers blocking from software companies » (version du 28 avril 2012 sur l'Internet Archive), sur www.h-online.com
  4. (en) « An update on attempted man-in-the-middle attacks » (consulté le )
  5. (en) « What The DigiNotar Security Breach Means For Qt Users » (version du 24 mars 2012 sur l'Internet Archive), sur www.meegoexperts.com. Le certificat frauduleux pour Gmail est posté sur pastebin(en) « Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011 » (version du 10 mai 2012 sur l'Internet Archive), sur pastebin.com
  6. (en) « How a 2011 Hack You’ve Never Heard of Changed the Internet’s Infrastructure » (consulté le )
  7. (nl) « Mogelijk nepsoftware verspreid naast aftappen Gmail » (consulté le )
  8. (nl) « DigiNotar: mogelijk nog valse certificaten in omloop » (version du 10 février 2012 sur l'Internet Archive), sur webwereld.nl
  9. (en) « DigiNotar reports security incident » (version du 31 août 2011 sur l'Internet Archive), sur www.vasco.com
  10. (en) « DigiNotar Removal Follow Up » (consulté le )
  11. (en) « Microsoft flips 'kill switch' on all DigiNotar certificates » (consulté le )
  12. (en) « Apple Silent on DigiNotar Certificates Hack » (consulté le )
  13. (en) « VASCO Announces Bankruptcy Filing by DigiNotar B.V. » (version du 23 septembre 2011 sur l'Internet Archive), sur www.vasco.com
  • Portail de la cryptologie
  • Portail des entreprises
  • Portail des Pays-Bas
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.