CERT-XMCO : Un certificat root inconnu au sein de Firefox provoque des débats
avril 2010 par CERT-XMCO
Mozilla removes inactive RSA root certificate
– Date : 09 Avril 2010
– Plateforme : Toutes
– Programme : Mozilla Firefox
– Gravité : Elevée
– Description :
Depuis quelques jours, la communauté de la sécurité informatique se pose de véritables questions sur un sujet troublant.
En effet, après un audit des certificats d’autorité figurant au sein de Firefox, les certificats nommés "RSA Security 1024 V3" et "RSA Security 2048 V3" soulèvent des interrogations. En effet, ces certificats n’appartiennent pas à la société "RSA Data Security"...
Pour rappel, les certificats d’autorité présents dans les navigateurs permettent de vérifier la validité d’un certificat SSL.
Près d’une douzaine de certificats de ce type sont présents dans Firefox, cependant pour le moment, personne n’a établi quelle était la société qui a délivré les certificats "RSA Security 1024 V3" et "RSA Security 2048 V3"...
D’autres navigateurs tels que Safari (Apple) sont également touchés par ce problème.
Cette troublante découverte remet donc en cause toute la chaîne de confiance. En effet, tous les certificats SSL délivrés par cette autorité de certification sont actuellement considérés comme valides aux yeux du navigateur. Si ce certificat était d’origine malicieuse (un pirate qui aurait réussi à introduire ce certificat auprès de l’équipe sécurité de Mozilla), les conséquences seraient dramatiques. Les personnes à l’origine de ce certificat aurait pu délivrer des certificats valides et ainsi mener des attaques de phishing ou encore déchiffrer les communications entre un client et un site utilisant un certificat signé par cette autorité...
Aux dernières nouvelles, Mozilla aurait supprimé ce certificat dans Firefox.
Ce navigateur alternatif, réputé plus sûr que Internet Explorer, l’est-il vraiment... Affaire à suivre...
– Référence :
http://hackingexpose.blogspot.com/2010/04/unknown-ssl-credential-could-imperil.html
– Correction :
Les certificats root "RSA Security 1024 V3" et "RSA Security 2048 V3" peuvent être supprimés depuis le menu :
Préférences => Avancé => Onglet Chiffrement => "Afficher les certificats"
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0430