nos newsletters
Abonnez-vous à Micro Hebdo : 1,23€ / n°
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 3,20€ / n°
Abonnez-vous à la version digitale
Mozilla met à jour Firefox pour corriger la faille SSL
Un faux certificat de sécurité identifie comme authentiques des services usurpant l’identité de Google. Mozilla publié une nouvelle version de Firefox. Chrome révoque plus de 200 certificats.
Mise à jour le 31 août 2011
Firefox et Chrome ont mis à jour leurs navigateurs pour corriger le problème de sécurité lié au vol de certificat SSL. Google a publié une nouvelle version de son logiciel. Et il n'a pas fait les choses à moitié. Il a révoqué pas moins de 247 certificats dont l'authenticité pouvait être mise en doute. Il ne s'agit pas uniquement de sésames fournis par DigiNotar, l'autorité de certification en cause dans cette affaire.
Télécharger Chrome 13.0.782.218 pour Windows
Quant à Mozilla, il a lui aussi publié de nouvelles versions de Firefox.
Télécharger Firefox 6.0.1 pour Windows
Télécharger Firefox 6.0.1 pour Mac
Télécharger Firefox 6.0.1 pour Linux
Télécharger Firefox 3.6.21 pour Windows
Télécharger Firefox 3.6.21 pour Mac
Télécharger Firefox 3.6.21 pour Linux
Première publication le 30 août 2011
Les utilisateurs de Google piégés par un faux certificat SSL
Des pirates ont réussi à obtenir un faux certificat de sécurité. Il identifie des services usurpant l’identité de Google comme d’authentiques sites.
Google alerte ses utilisateurs. « Des tentatives d’attaques du type “man-in-the-middle” contre nos utilisateurs nous ont été rapportées », assène le moteur de recherche dans un billet publié lundi 29 août sur son blog consacré à la sécurité.
Des pirates ont réussi à obtenir de la part d’une authentique autorité, DigiNotar, un certificat SSL permettant d’identifier les services du géant du Web. Ce sésame présent dans les navigateurs Internet permet de s’assurer que les internautes se connectent bien aux services sécurisés auxquels ils souhaitent avoir accès. Ce certificat frauduleux a ainsi authentifié des sites Internet usurpant l’identité et les couleurs de Google. Ces attaques malveillantes ont principalement visé les internautes iraniens et le service de communication Gmail.
Mise à jour des navigateurs
agrandir la photo
Dans un communiqué, Vasco, la maison-mère de DigiNotar, a confirmé avoir été victime d’un piratage. L’intrusion dans les infrastructures de son système de certification ne concernerait pas uniquement un certificat émis pour le nom de domaine Google.com a indiqué sans plus de détails la société.
Google et Vasco ont précisé que les certificats frauduleux avaient été révoqués. « Pour protéger au mieux la sécurité et la vie privée de nos utilisateurs nous envisageons de désactiver l’autorité de certification DigiNotar dans Chrome le temps de l’enquête ». Mozilla a également émis une alerte de sécurité. Il invite ses utilisateurs à mettre à jour Firefox ou à supprimer manuellement la racine des certificats DigiNotar. Pour cela il suffit de se rendre dans le menu « Outils », de sélectionner « Options », puis « Avancé », « Afficher les certificats ». Enfin, choisir « Supprimer », une fois le certificat sélectionné.
En mars dernier, une autre autorité, Comodo, avait généré à la suite d'une intrusion informatique neuf faux certificats. Ceux-ci ciblaient principalement des services de messageries électroniques comme Yahoo! Mail, Hotmail, Gmail ou encore de téléphonie sur IP comme Skype. L’entreprise avait accusé un piratage orchestré depuis l’Iran. Mais des experts ont rapidement mis en cause le système d’attribution des certificats par Comodo, trop automatisé.
Avis sur «Mozilla met à jour Firefox pour corriger la faille SSL»
Le début de la fin
de
Jean Paul FAUSSET
, posté le 30 aout 2011 à 20h50
Je cite : "Google et Vasco ont précisé que les certificats frauduleux avaient été révoqués"
Donc à défaut de pouvoir faire face aux certficats volontairement falsifiés, la seule parade invoquée est l'interdiction de ces derniers.
Questions :
1) A part le chat et la souris qui va empêcher de produire X nouveaux certificats au fur et mesure interdits alors qu'ils auront pourtant fait d'énorme dégâts ?
2) Peut-on encore avoir confiance en INTERNET si l'on a trouver la faille des protections sensées nous protéger quand l'on nous promet la sécurité ?
Donc à défaut de pouvoir faire face aux certficats volontairement falsifiés, la seule parade invoquée est l'interdiction de ces derniers.
Questions :
1) A part le chat et la souris qui va empêcher de produire X nouveaux certificats au fur et mesure interdits alors qu'ils auront pourtant fait d'énorme dégâts ?
2) Peut-on encore avoir confiance en INTERNET si l'on a trouver la faille des protections sensées nous protéger quand l'on nous promet la sécurité ?
alerter le modérateur
la reduction des couts, vla le pb
de
C23-encore une fois
, posté le 30 aout 2011 à 21h16
Non, la faille du ststeme n'est pas le principe du certificat en lui-meme, ou meme la révocation (bien que la révocation, il faut etre honnete, n'est qu'une maigre consolation).
Si je me souviens bien et si je ne raconte pas de conneries, le ministere des finances français delivre bien des certs de classe 2 , où il ya obligation de la présence physique de la personne demandeuse, ainsi que d'un témoin, et l'identité des deux personnes est vérifiée avant que le cert soit généré.
Le pb dans les autorités de cert internet, c'est que forcement, elles ne font aucune vérification car tout est automatisé et fait à distance.
Tout faire à distance, c bien, ca réduit les couts...et aussi ca réduit la sécurité.
Maintenant, si vous voulez assurer une sécurité maximale sur internet, sortez vos sous : il faudra payer le salaire du mec qui vérifiera votre carte d'identité, votre propre salaire car vous serez indisponible pdt ce temps, la meme pour le témoin, la salaire du mec qui vérifie, et vos frais de déplacement vers la filiale de l'autorité de certification (qui en plus, devra maintenant acceuilir du public, donc couts supplémetaires).
Au final, votre certificat vous coutera une blinde par rapport à maintenant. Eh oui, c'est le jeu ma pov Lucette!
Si je me souviens bien et si je ne raconte pas de conneries, le ministere des finances français delivre bien des certs de classe 2 , où il ya obligation de la présence physique de la personne demandeuse, ainsi que d'un témoin, et l'identité des deux personnes est vérifiée avant que le cert soit généré.
Le pb dans les autorités de cert internet, c'est que forcement, elles ne font aucune vérification car tout est automatisé et fait à distance.
Tout faire à distance, c bien, ca réduit les couts...et aussi ca réduit la sécurité.
Maintenant, si vous voulez assurer une sécurité maximale sur internet, sortez vos sous : il faudra payer le salaire du mec qui vérifiera votre carte d'identité, votre propre salaire car vous serez indisponible pdt ce temps, la meme pour le témoin, la salaire du mec qui vérifie, et vos frais de déplacement vers la filiale de l'autorité de certification (qui en plus, devra maintenant acceuilir du public, donc couts supplémetaires).
Au final, votre certificat vous coutera une blinde par rapport à maintenant. Eh oui, c'est le jeu ma pov Lucette!
alerter le modérateur
Empreinte digitale ?
de
Matthieu Constanzo
, posté le 31 aout 2011 à 08h21
A quand ce système universel qui permettrait de ne plus avoir de mots de passe...
alerter le modérateur
Pour qu'ils te piquent tes donnée biometriques
de
zhzhzrhzr
, posté le 31 aout 2011 à 08h26
et les revendent?
alerter le modérateur
un peu trop ?
de
max_archi
, posté le 31 aout 2011 à 13h40
On dirait que Google a complètement banni les certificats de DigiNotar (on ne peut plus accéder à ce site en https avec Chrome).
C'est peut-être un peu abusé de bannir toute l'autorité et tout les certificats de ses clients...
C'est peut-être un peu abusé de bannir toute l'autorité et tout les certificats de ses clients...
alerter le modérateur
La version 7 bêta qui fonctionne très bien
de
ret589
, posté le 31 aout 2011 à 15h59
Il n' y a pas de MAJ ?
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
