Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Un certificat root inconnu au sein de Firefox provoque des débats

avril 2010 par CERT-XMCO

Mozilla removes inactive RSA root certificate

 Date : 09 Avril 2010

 Plateforme : Toutes

 Programme : Mozilla Firefox

 Gravité : Elevée

 Description :

Depuis quelques jours, la communauté de la sécurité informatique se pose de véritables questions sur un sujet troublant.

En effet, après un audit des certificats d’autorité figurant au sein de Firefox, les certificats nommés "RSA Security 1024 V3" et "RSA Security 2048 V3" soulèvent des interrogations. En effet, ces certificats n’appartiennent pas à la société "RSA Data Security"...

Pour rappel, les certificats d’autorité présents dans les navigateurs permettent de vérifier la validité d’un certificat SSL.

Près d’une douzaine de certificats de ce type sont présents dans Firefox, cependant pour le moment, personne n’a établi quelle était la société qui a délivré les certificats "RSA Security 1024 V3" et "RSA Security 2048 V3"...
D’autres navigateurs tels que Safari (Apple) sont également touchés par ce problème.

Cette troublante découverte remet donc en cause toute la chaîne de confiance. En effet, tous les certificats SSL délivrés par cette autorité de certification sont actuellement considérés comme valides aux yeux du navigateur. Si ce certificat était d’origine malicieuse (un pirate qui aurait réussi à introduire ce certificat auprès de l’équipe sécurité de Mozilla), les conséquences seraient dramatiques. Les personnes à l’origine de ce certificat aurait pu délivrer des certificats valides et ainsi mener des attaques de phishing ou encore déchiffrer les communications entre un client et un site utilisant un certificat signé par cette autorité...

Aux dernières nouvelles, Mozilla aurait supprimé ce certificat dans Firefox.

Ce navigateur alternatif, réputé plus sûr que Internet Explorer, l’est-il vraiment... Affaire à suivre...

 Référence :

http://hackingexpose.blogspot.com/2010/04/unknown-ssl-credential-could-imperil.html

http://www.scmagazineus.com/mozilla-removes-inactive-rsa-root-certificate/article/167537/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SCMagazineHome+%28SC+Magazine%29

 Correction :

Les certificats root "RSA Security 1024 V3" et "RSA Security 2048 V3" peuvent être supprimés depuis le menu :

Préférences => Avancé => Onglet Chiffrement => "Afficher les certificats"

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0430


Voir les articles précédents

    

Voir les articles suivants