Alerte de sécurité: DigiNotar émet un certificat Google.fr frauduleux

Certificat frauduleux de couche de socket sécurisé DigiNotar de Google

Un utilisateur Gmail d'Iran a découvert cesemble être un certificat SSL frauduleux pour * .google.com. Le certificat a été délivré par DigiNotar, une autorité de certification des Pays-Bas le 10 juillet 2011. Qu'est-ce que cela signifie? Le Registre l'explique le mieux pour les non-spécialistes de la sécurité sur Internet, mais en un mot, il permet au titulaire de ce certificat de se faire passer pour Google. Utilisés à des fins malveillantes, ils pourraient rediriger votre navigateur et hameçonner les informations d'identification de votre compte Google, accéder à vos comptes Google Plus, Gmail, Google Shopping, Google Docs et à d'autres comptes de service basés sur Google. Ou ils pourraient simplement intercepter les données que vous envoyez à Google, écouter toutes vos communications (y compris les informations personnelles et les informations de connexion) et envoyez-le, sans que vous le sachiez.

Mise à jour: Avis de sécurité Microsoft (2607712)indique que le certificat DigiNotar a été supprimé de la liste de confiance des certificats Microsoft, ce qui signifie que tous les systèmes Windows Vista et Windows 7 seront protégés. Aucune autre action ne devrait être nécessaire. Les utilisateurs de Windows XP et Windows Server 2003 doivent surveiller la mise à jour ou suivre les instructions ci-dessous.

Utilisateurs Mac: Suivez ces instructions pour supprimer DigiNotar de votre trousseau.

Les pouvoirs en place ont déjà fait leur apparitionet le certificat a été ajouté à la liste de révocation des certificats (CRL). Cela signifie que si vous essayez de parcourir l'un de ces faux sites redirigés, vous devrait être averti que quelque chose se prépare. Mozilla publiera des mises à jour de Firefox,Thunderbird et Seamonkey qui révoqueront la confiance dans DigiNotar, protégeant efficacement les utilisateurs de ce compromis de sécurité particulier. En attendant, vous pouvez révoquer manuellement la racine DigiNotar dans Firefox (voir les instructions ci-dessous)

La dernière version de Google Chrome devrait également être protégé contre le certificat frauduleux de DigiNotar, bien qu'il existe des mesures que vous pouvez prendre pour vous assurer de la double assurance. Instructions ci-dessous.

La première étape que vous devez faire est de vous assurer que vous disposez de la dernière version du navigateur que vous utilisez. Obtenez-le ici:

Google Chrome
Internet Explorer
Firefox

Sécuriser Internet Explorer et Google Chrome à partir du faux certificat DigiNotar

Ces étapes ajouteront le faux certificat à votre système en tant que Certificat non approuvé. Cela affectera à la fois Internet Explorer et Chrome.

Étape 1

Ouvrez Notepad.exe.

Étape 2

Accédez à http://pastebin.com/raw.php?i=ff7Yg663 et copiez le texte entre les mots BEGIN CERTIFICATE et END CERTIFICATE. Collez-le dans le bloc-notes.

Ou copiez et collez-le à partir d'ici:
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Vous pouvez également simplement télécharger le fichier .cer directement chez nous.

Étape 3

Enregistrez-le avec une extension .cer. ne pas en tant que fichier .txt. Utilisez quelque chose comme badcert.cer.

L'icône ressemble à ceci dans Windows 7:

Étape 4

Ouvert Panneau de configuration et allez à options Internet. Clique le Contenu languette. Cliquez sur Certificats.

Étape 5

Cliquez sur la flèche droite en haut jusqu'à ce que vous voyiez Éditeurs non fiables. Cliquez sur Importation.

Étape 6

Accédez à votre fichier badcert.cer et importez-le.

Étape 7

Placez-le dans Certificats non approuvés. Cliquez sur Suivant jusqu'à la fin.

révocation du certificat diginotar IE et CHROME

Étape 8

Vous verrez le certificat de DigiNotar en haut.

Sécurisation de Mozilla Firefox à partir du certificat DigiNotar frauduleux

Mozilla a été totalement génial et sur la balle ici et a publié des instructions officielles pour supprimer le certificat DigiNotar. Ou lisez la suite.