30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : ComodoHacker fait de nouveau parler de lui après que des fichiers potentiellement sensibles aient été publiés sur Internet

janvier 2012 par CERT-XMCO

* Comodo Hack Databases ?

– Date : 30 Janvier 2012

– Gravité : Moyenne

– Description :

Depuis quelque temps, il ne se passe plus un mois sans que des problèmes de sécurité liés à SSL soient mis en lumière.

Aujourd’hui, c’est ComodoHacker, le pirate présumé iranien (voir CXA-2011-0475) qui revient sur le devant de la scène, après que des fichiers potentiellement sensibles aient été envoyés au site Internet Crypome.org. À l’instar de Wikileaks, ce site a en effet pour vocation de publier des données potentiellement sensibles de façon anonyme, afin de protéger l’identité des informateurs ayant souhaité dérober et rendre public certaines informations.

D’après ses propres déclarations, ComodoHacker serait à l’origine des attaques perpétré au début de l’année 2011 contre plusieurs autorités de certifications telles que Comodo. Pour rappel, le pirate avait publié sur Internet (http://pastebin.com/74KXCaEZ) les informations suivantes :

> I hacked Comodo from InstantSSL.it, their CEO’s e-mail address mfpenco@mfpenco.com

> Their Comodo username/password was : user : gtadmin password : globaltrust

> Their DB name was : globaltrust and instantsslcms

Aujourd’hui, ce sont donc deux fichiers dénommés "globaltrust.bak" et "instantsslcms.bak" qui ont ainsi été publiés sur le site Internet à l’adresse suivante :
http://cryptome.org/2012/01/0074.htm

Ceux-ci, qui sont datés du 15 mars, pourraient correspondre à des sauvegardes de base de données MsSQL, mais sans que cela n’ait été confirmé pour le moment. À première vue, cette date laisse à penser que ces fichiers pourraient en effet être, comme cela est envisagé, des sauvegardes du contenu de la base de données. En effet, la date correspond à la période supposée de l’attaque, leurs noms laissent à penser qu’il pourrait s’agir de données appartenant aux autorités de certification GlobalTrust et instantSSL, et enfin, les noms correspondent avec les précédentes déclarations de ComodoHacker.

Il faudra maintenant attendre quelques jours le temps que ces données puissent être analysées en détail, pour savoir si celles-ci correspondent bien aux données dérobées à Comodo ou non.

– Référence :

http://cryptome.org/2012/01/0074.htm

http://pastebin.com/74KXCaEZ

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-0475

– Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0144