Jusqu'à 23 000 certificats HTTPS divulgués mettent en danger les données de milliers d'utilisateurs sur le réseau

La sécurité de nos données sur le réseau est à nouveau remise en question Hier, nous avons vu comment la sécurité peut être améliorée dans nos équipements et dans le réseau domestique permettant le filtrage MAC de notre routeur. Ce n'est pas infaillible mais au moins on gagne un peu plus de protection.

Mais cela ne sert à rien si lorsque nos données partent à l'étranger, elles sont exposées à des risques sur lesquels nous n'avions pas prévu au départ. Et c'est ce qui s'est passé quand une fuite massive a compromis plusieurs milliers de certificats HTTPSEt c'est que des milliers de ces certificats HTTPS ont été diffusés par e-mail.

Avant de continuer, clarifiez le but d'un certificat HTTPS sur un site Web. C'est le système qui garantit que les données que nous saisissons sont cryptées de bout en bout De cette façon, nos données sont théoriquement protégées jusqu'à ce qu'elles atteignent leur destination. Ce sont des pages Web qui, au lieu du HTTP habituel, dirigent leur adresse avec les lettres HTTPS.

Une attitude irresponsable ?

Jusqu'à 23 000 certificats HTTPS au total ont été touchés par cette fuite massive (et irresponsable) de sorte que les pages Web et les domaines qui étaient protégés par ces 23 000 certificats (ce n'est rien), sont maintenant pleinement exposés. Et les données qui y sont utilisées également.

Pensez aux pages de toutes sortes allant des sites de e-commerce, aux pages bancaires et même aux organismes officiels. C'est un problème d'une profondeur que nous ne connaissons même pas.

Traduit en nombre d'utilisateurs, nous pouvons nous faire une idée. Il peut y avoir des milliers, des dizaines, des centaines de milliers voire des millions d'utilisateurs concernés qui accèdent à ces pages Web dont les certificats sont disponibles au plus offrant.

L'e-mail semble avoir été envoyé par le PDG de Trustico, une société qui gère les certificats TLS qui valident ces pages, au vice-président exécutif de DigiCertDigiCert, Jeremy Rowley. Total, un e-mail avec une pièce jointe contenant toutes les clés (jusqu'à un total de 23 000).

Une nouvelle qui peut sembler tirée d'un espace humoristique, mais malheureusement ce n'est pas le cas. Il est extrêmement irresponsable de mettre en danger des informations aussi sensibles Nous ne devons pas oublier que le courrier électronique n'est pas le moyen le plus sûr.Nous serons attentifs à l'évolution de la situation.

Source | Ars Technica Image | Wikipédia