Firme égyptienne MCS Holding donnait de faux certificats SSL pour plusieurs domaines Google
▻http://googleonlinesecurity.blogspot.nl/2015/03/maintaining-digital-certificate-security.html
MCS utilisait ces certificat dans son logiciel commercial qui permettait à des sociétés d’intercepter le trafic internet de leurs collaborateurs.
Mais ce certificat pouvait aussi être utilisé en dehors de MCS vu que ce dernier livrait la clé privé du certificat ensemble avec le logiciel...
Les certificats étaient signés par la société chinoise CNNIC qui fait partie de gouvernement.
C’est quelque chose qui semble prendre de l’ampleur ces derniers temps. La semaine dernière il y avait un incident similaire où un abonné du FAI hollandais Xs4all avait réussi à obtenir un certificat SSL via Comodo pour le domaine xs4all.nl, simplement en régistrant administrator@xs4all.nl
L’auteur explique son exploit ici :
▻https://raymii.org/s/blog/How_I_got_a_valid_SSL_certificate_for_my_ISPs_main_website.html
C’est déjà la deuxième fois que le manque de rigueur de Comodo lors de la validation de l’identité mène à l’attribution de certificats SSL pouvant créer de sérieux problèmes, cf le finlandais avec hostmaster@live.fi
Voir pour cela @stephane ▻http://seenthis.net/messages/354475
#MITM #man-in-the-middle
#digital_certificate #certificat_numérique