Quelques bons articles sur la faille « Comodo » (une autorité de certification #X.509 qui laisse un de ses revendeurs émettre de vrais-faux certificats pour des sites sensibles comme addons.mozilla.org, un site qui est utilisé pour les mises à jour automatiques de Firefox).
Le meilleur article technique est celui du projet Tor : ►https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusi
Une synthèse non-technique pas trop mauvaise : ►http://www.zdnet.com/blog/security/microsoft-warns-fraudulent-digital-certificates-issued-for-high-value-websites/8488
Le message officiel de Mozilla, dont les logiciels ont désormais en interne une liste noire de certificats frauduleux : ►http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates
Le communiqué officiel de Comodo : ►http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
Contrairement à ce que dit ce communiqué, l’exploitation ne nécessite pas le #DNS : ►https://listes.cru.fr/sympa/arc/dns-fr/2011-03/msg00047.html
Comodo se vante que les vrais-faux certificats aient été annulés mais personne ne teste les révocations : ►http://www.imperialviolet.org/2011/03/18/revocation.html
Le craqueur (oui, c’est probablement lui) a expliqué comment il avait
fait : ►http://pastebin.com/74KXCaEZ
Et une très bonne analyse non-technique de la sécurité est en : ►http://erratasec.blogspot.com/2011/03/comodo-hacker-releases-his-manifesto.html
L’étude de l’#EFF montrant que la plupart des autorités de
certification signent n’importe quoi : ►http://www.macworld.co.uk/business/news/index.cfm?newsid=3273112&pagtype=allchandate
Il y a aussi des mauvais articles (comme celui de Wired), je ne les cite pas.