DigiNotar était une autorité de certification néerlandaise fondée en 1998 et disparue en 2011 à la suite d'un piratage informatique.
Histoire
L'entreprise est créée en 1998 par Dick Batenburg, un notaire néerlandais, en partenariat avec la Koninklijke Notariële Beroepsorganisatie, une organisation notariale néerlandaise.
Le , l'entreprise est rachetée par VASCO Data Security International, qui deviendra plus tard OneSpan.
Piratage
Le , un hacker parvient à délivrer un certificat omnidomaine (wildcard) pour Google. Ce certificat est alors utilisé en Iran pour une attaque de l'homme du milieu à l'encontre de services Google.
Le , des utilisateurs de Google Chrome en Iran rapportent des erreurs de certificat lors d'accès à des services Google. L'implémentation du HTTP Public Key Pinning dans Chrome a permis d'émettre un avertissement aux utilisateurs, car bien que valide, le certificat utilisé n'était pas authentique.
Au total, 531 certificats frauduleux sont alors découverts. Ils concernent entre autres Yahoo!, WordPress, Mozilla, AOL, la Central Intelligence Agency ou encore The Tor Project. DigiNotar indique ne pas être en mesure de garantir leur révocation en totalité.
Le , VASCO publie un communiqué à la suite de l'incident. L'entreprise admet avoir détecté l'intrusion le , sans pour autant rendre l'information publique. Le communiqué ajoute également : « VASCO ne s'attend pas à ce que l'incident de sécurité à DigiNotar ait un impact significatif sur les revenus futurs de l'entreprise ».
Le , Mozilla révoque le certificat racine DigiNotar dans toutes ses versions de Firefox. Quelques jours plus tard, Microsoft, Apple et Google prennent des décisions identiques.
Faillite
Le , moins de trois mois après l'attaque, VASCO annonce la faillite de DigiNotar.
Notes et références
- Portail de la cryptologie
- Portail des entreprises
- Portail des Pays-Bas
