Microsoft qualifie les certificats SSL de Diginotar "d'indignes de confiance"

Et publie un correctif de sécurité pour Windows

Tous les certificats de sécurités SSL (Secure Socket Layer) de Diginotar seraient désormais peu fiables selon Microsoft suite à une enquête de la société.

L'autorité de certification hollandaise DigiNotar avait été victime récemment d’une attaque revendiquée par le pirate ComodoHacker qui avait entraîné l’émission de faux certificats pour plusieurs sites, dont l’ensemble des sites de Google.

La réaction de Microsoft suite à cette affaire est la publication d’une mise à jour de sécurité pour l’ensemble de ses systèmes d’exploitation Windows (XP, Vista, Seven, Server, etc.).

La firme conclut dans un billet de blog que "les certificats de DigiNotar sont indignes de confiance". Elle place ceux-ci au niveau des certificats non approuvés dans son correctif disponible depuis hier.

Microsoft avait déjà procédé à la suppression des certificats de DigiNator dans sa liste de confiance Microsoft Certificate Trust List (MCTL) utilisée par Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2 et Internet Explorer pour valider l'approbation d'une autorité de certification.

La mise à jour de sécurité permet donc de régler ce problème pour les utilisateurs de Windows XP, Windows Server 2003 et les autres applications Windows tierces non protégées.

La mise à jour est disponible dans le monde entier via la fonction de mise à jour automatique de Windows... sauf au Pays-Bas suite à une demande explicite du gouvernement Néerlandais, indique Microsoft (DigiNotar est une autorité de confiance hollandaise qui a publié des certificats pour les institutions de ce pays).

Pour mémoire, plus de 500 certificats SSL frauduleux pouvant induire les internautes en erreur et usurper leur identité auraient été émis par DigiNotar après l’exploitation d'une faille de sécurité par des pirates. Pas moins de 300 000 IP uniques se seraient identifiées à des comptes Google à travers ces certificats falsifiés.

DigiNotar avait gardé le silence sur l'attaque de ses systèmes pendant près de deux mois.

Source : Microsoft