Les faux certificats de Microsoft
Date : 11 Juillet 2005
Les 29 et 30 janvier 2001 derniers , la société VeriSign (qui fait partie des autorités de certification de référence dans le monde des PKI) a émis par erreur deux certificats à la demande d'une personne se faisant passer pour un employé de la firme Microsoft. Le nom assigné à ces deux certificats est ainsi "Microsoft Corporation".
Ces deux certificats de classe 3 (certificats destinés à des organismes, entreprises) peuvent servir à signer des programmes exécutables, des contrôles ActiveX ou des macros Office avec le " label " Microsoft. On peut évidemment penser que ces certificats pourront être utilisés pour diffuser, sous un label de confiance, des programmes malicieux.
Les programmes ainsi signés pourront être reçus par e-mail, téléchargés via le web, ... , et l'utilisateur se verra proposer l'exécution d'un programme " provenant de Microsoft ".
Il est important de noter cependant que, même si l'utilisateur a préalablement configuré son navigateur/client de messagerie pour faire confiance aux certificats de Microsoft, une boîte de dialogue sera néanmoins affichée lui proposant l'exécution du programme signé (car la vérification dans ce cas ne porte pas que sur le nom " Microsoft " inclus dans le certificat).
Les caractéristiques de ces 2 certificats sont :
Certificat n°1:
- Distribué par VeriSign Commercial Software Publishers CA
- Période de validité du 29/01/2001 au 30/01/2002
- Numéro de série : 1B51 90F7 3724 399C 9254 CD42 4637 996A
Certificat n°2:
- Distribué par VeriSign Commercial Software Publishers CA
- Période de validité du 30/01/2001 au 31/01/2002
- Numéro de série : 750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
Ces faux certificats ont été immédiatement inscrits dans la liste de révocation de VeriSign (CRL – Certificat Revocation List).
Par défaut, le navigateur Internet Explorer ne vérifie pas les certificats par rapport aux listes de révocation.Pour activer cette vérification, faire sous IE, " Outils ", " Options Internet ", " Avancées ", et dans la section " Sécurité ", cocher :
- " Vérifier la révocation des certificats (redémarrage nécessaire)"
- " Vérifier la révocation des certificats de l'éditeur"
Cependant, même dans ce cas, le certificat falsifié émis par Verisign ne sera pas identifié comme " révoqué ", car selon Microsoft, les certificats de Verign falsifiés ne contiennent pas d'information sur la localisation de cette liste (CDP - CRL Distribution Point, qui est optionnelle dans la structure d'un certificat).
Microsoft a alors publié un " outil " permettant de révoquer ces 2 certificats et de gérer les révocations sur la base des listes de révocation présentes sur le système plutôt que d'utiliser le mécanisme de CDP.
Les utilisateurs des navigateurs standards de Netscape ne sont pas impactés par les problèmes introduits par les contrôles ActiveX car leur navigateur ne gèrent pas cette technologie, à moins d'installer un plugin spécifique.
Verisign a fourni une liste de révocation (disponible à l'adresse suivante : http://crl.verisign.com/Class3SoftwarePublishers.crl ) qui peut être importée au niveau de Internet Explorer.
Cet évènement démontre que les chaînes de confiance qui sont à la base des infrastructures de type PKI, ou autres sont des maillons très fragiles dans le monde du chiffrement.
Pour plus d'information
- Avis du CERT/CC : http://www.cert.org/advisories/CA-2001-04.html
- Avis de Microsoft : http://www.microsoft.com/technet/security/bulletin/ms01-017.asp
- Avis de Verisign : http://www.verisign.com/developer/notice/authenticode/index.html