DigiNotar

DigiNotar
Création	1998
Disparition	2011
Siège social	Pays-Bas
Activité	Infrastructure à clés publiques
Produits	Certificat electronique
Société mère	OneSpan
Site web	www.diginotar.nl
modifier - modifier le code - voir Wikidata

DigiNotar était une autorité de certification néerlandaise fondée en 1998 et disparue en 2011 à la suite d'un piratage informatique.

Histoire

L'entreprise est créée en 1998 par Dick Batenburg, un notaire néerlandais, en partenariat avec la Koninklijke Notariële Beroepsorganisatie, une organisation notariale néerlandaise.

Le 10 janvier 2011, l'entreprise est rachetée par VASCO Data Security International^[1], qui deviendra plus tard OneSpan^[2].

Piratage

Le 10 juillet 2011, un hacker parvient à délivrer un certificat omnidomaine (wildcard) pour Google. Ce certificat est alors utilisé en Iran pour une attaque de l'homme du milieu à l'encontre de services Google^[3].

Le 28 août 2011, des utilisateurs de Google Chrome en Iran rapportent des erreurs de certificat lors d'accès à des services Google^[4]. L'implémentation du HTTP Public Key Pinning dans Chrome a permis d'émettre un avertissement aux utilisateurs, car bien que valide, le certificat utilisé n'était pas authentique^[5].

Au total, 531 certificats frauduleux sont alors découverts^[6]. Ils concernent entre autres Yahoo!, WordPress, Mozilla, AOL, la Central Intelligence Agency ou encore The Tor Project^[7]. DigiNotar indique ne pas être en mesure de garantir leur révocation en totalité^[8].

Le 30 août 2011, VASCO publie un communiqué à la suite de l'incident. L'entreprise admet avoir détecté l'intrusion le 19 juillet 2011, sans pour autant rendre l'information publique. Le communiqué ajoute également : « VASCO ne s'attend pas à ce que l'incident de sécurité à DigiNotar ait un impact significatif sur les revenus futurs de l'entreprise »^[9].

Le 2 septembre 2011, Mozilla révoque le certificat racine DigiNotar^[10] dans toutes ses versions de Firefox. Quelques jours plus tard, Microsoft^[11], Apple^[12] et Google prennent des décisions identiques.

Faillite

Le 20 septembre 2011, moins de trois mois après l'attaque, VASCO annonce la faillite de DigiNotar^[13].

Notes et références

1. (en) « VASCO Data Security International, Inc. Announces the Acquisition of DigiNotar B.V., a Market Leader in Internet Trust Services in The Netherlands », sur www.vasco.com (version du 17 septembre 2011 sur Internet Archive)
2. (en) « Vasco Data Security Changes Name To OneSpan, Pays $55M For Identity Verification Vendor » (consulté le 17 janvier 2021)
3. (en) « Fraudulent certificate triggers blocking from software companies », sur www.h-online.com (version du 28 avril 2012 sur Internet Archive)
4. (en) « An update on attempted man-in-the-middle attacks » (consulté le 17 janvier 2021)
5. (en) « What The DigiNotar Security Breach Means For Qt Users », sur www.meegoexperts.com (version du 24 mars 2012 sur Internet Archive). Le certificat frauduleux pour Gmail est posté sur pastebin(en) « Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011 », sur pastebin.com (version du 10 mai 2012 sur Internet Archive)
6. (en) « How a 2011 Hack You’ve Never Heard of Changed the Internet’s Infrastructure » (consulté le 17 janvier 2021)
7. (nl) « Mogelijk nepsoftware verspreid naast aftappen Gmail » (consulté le 17 janvier 2021)
8. (nl) « DigiNotar: mogelijk nog valse certificaten in omloop », sur webwereld.nl (version du 10 février 2012 sur Internet Archive)
9. (en) « DigiNotar reports security incident », sur www.vasco.com (version du 31 août 2011 sur Internet Archive)
10. (en) « DigiNotar Removal Follow Up » (consulté le 17 janvier 2021)
11. (en) « Microsoft flips 'kill switch' on all DigiNotar certificates » (consulté le 17 janvier 2021)
12. (en) « Apple Silent on DigiNotar Certificates Hack » (consulté le 17 janvier 2021)
13. (en) « VASCO Announces Bankruptcy Filing by DigiNotar B.V. », sur www.vasco.com (version du 23 septembre 2011 sur Internet Archive)

•   Portail de la cryptologie
•   Portail des entreprises
•   Portail des Pays-Bas