Une société affiliée Comodo Registration Authority (RA) a été compromise et l’incident a donné lieu à l’émission de neuf certificats SSL non légitimes pour sept domaines populaires, a rapporté aujourd’hui Comodo.

L’incident s’est produit le 15 mars, lorsque des assaillants inconnus ont réussi à accéder à l’un des comptes d’utilisateurs de la RA. Ils ont réussi à délivrer des certificats pour :

mail.google.com

www.google.com

login.yahoo.com

login.skype.com

addons.mozilla.org

login.live.com

global trustee

“Un compte d’utilisateur dans une RA a été compromis. L’attaquant a créé lui-même un nouvel utilisateur sur le compte utilisateur compromis”, explique Comodo dans un rapport d’incident publié aujourd’hui.

“L’attaque est survenue à partir de plusieurs adresses IP, mais surtout localisées en Iran. L’attaquant était bien préparé et savait à l’avance ce qu’il avait décidé d’atteindre. Il semblait avoir une liste de cibles dont il voulait obtenir les certificats SSL, et a été en mesure de les générer rapidement et de soumettre des ordres à notre système afin que les certificats soient produits et mis à sa disposition. “

Actuellement, Comodo a fait en sorte que tous les certificats non légitimes soient révoqués immédiatement. “Nos systèmes indiquent, lors du test, que les certificats ont été révoqués. Le site de l’Iran sur lequel le certificat a été testé est rapidement devenu indisponible,” il dit.

Félicitations à Comodo pour les efforts déployés et pour une divulgation responsable. Immédiatement après que la violation a été repérée, ils ont contacté principaux navigateurs et propriétaires de domaines afin de les mètrent au courant de la situation.

Google et Mozilla ont poussé les mises à jour des listes noires de certificats dans leur navigateur seulement deux jours après la violation. Microsoft a également publié une mise à jour pour toutes les versions de Windows pour aider à résoudre la question.

Les autorités gouvernementales ont également été avisés et ont monté une enquête.

Comodo a pris soin de souligner que ses clés racine et son matériel sécurisé ne sont pas compromis.

“Il n’échappe pas à l’avis que les domaines ciblés seraient les plus utiles à un gouvernement qui tente de surveiller l’utilisation d’Internet par des groupes dissidents”, dit Comodo dans son blog. “Cet attentat intervient à un moment où de nombreux pays en Afrique du Nord et la région du Golfe sont confrontés à des protestations populaires et de nombreux commentateurs ont identifié l’Internet et en particulier les sites de réseaux social comme un outil majeur pour organiser les manifestations.”

Compte tenu de la nature des domaines pour lesquels l’attaquant a demandé des certificats, il semble que ce fut un régime orchestré par l’État dans le but de récolter pour une surveillance future du courrier électronique et des communications Skype.