Aller à la recherche

Mozilla Security Blog : certificat frauduleux *.google.com

Mise à jour (6 sept. 2011 @10:37 a.m. PT)

De nouvelle mises à jour de sécurité de Firefox sont désormais disponibles [voir Mozilla Firefox 6.0.2 et 3.6.22 et Thunderbird 6.0.2, 7 bêta et 3.1.14].

Mise à jour (8.30.11 @ 11:25 p.m. PT)

Mozilla vient juste de sortir une mise à jour de Firefox pour ordinateur de bureau, Thunderbird et SeaMonkey. Des mises à jour sont désormais disponibles pour :

  • Firefox pour Windows, Mac et Linux (version finale)
  • Firefox pour Windows, Mac et Linux (version 3.6.21 finale)
  • Firefox Aurora pour Windows, Mac et Linux
  • Firefox Nightly (Nocturne) pour Windows, Mac et Linux
  • SeaMonkey (2.3.2)
  • Thunderbird (6.0.1)

Nous recommandons fortement que tous les utilisateurs mettent à niveau vers ces versions.

Si vous avez déjà Firefox, vous recevrez une notification de mise à jour automatique dans les 24 à 48 heures. Les utilisateurs peuvent aussi vérifier les mises à jour manuellement s’ils ne veulent pas attendre la mise à jour automatique.

De nouvelles versions de Firefox pour mobile (versions finale et bêta), Firefox bêta pour ordinateur de bureau et Thunderbird seront bientôt publiées.

Problème

Mozilla a été informé aujourd’hui de l’émission d’au moins un certificat SSL frauduleux pour les sites Web publics appartenant à Google, Inc. Ce n’est pas un problème spécifique à Firefox et le certificat a été révoqué par son émetteur, DigiNotar. Cela devrait protéger la plupart des utilisateurs.

Impact sur les utilisateurs

Les utilisateurs sur un réseau compromis pourrait être dirigés vers des sites utilisant un certificat frauduleux et les confondre avec les sites légitimes. Cela pourrait les amener à révéler des informations personnelles par la ruse telles que des noms d’utilisateur et des mots de passe. Il peut aussi amener les utilisateurs à télécharger des logiciels malveillants (malwares) s’ils pensent qu’ils proviennent d’un site de confiance. Nous avons reçu des rapports de ces certificats utilisés dans la nature.

État

Parce que l’ampleur de la mauvaise émission n’est pas claire, nous publierons prochainement de nouvelles versions de Firefox pour ordinateur de bureau (3.6.21, 6.0.1, 7, 8 et 9) et mobiles (6.0.1, 7, 8 et 9), Thunderbird (3.1.13 et 6.0.1) et SeaMonkey (2.3.2) qui vont annuler la confiance dans la racine DigiNotar et protéger les utilisateurs contre cette attaque. Nous encourageons tous les utilisateurs à garder leur logiciel à jour par l’application régulière des mises à jour de sécurité. Les utilisateurs peuvent également désactiver manuellement la racine DigiNotar dans les préférences de Firefox.

Crédit

Ce problème nous a été rapporté par Google, Inc.


Johnathan Nightingale
Directeur du développement de Firefox

Source

Mozilla Security Blog, Fraudulent *.google.com Certificate, 29 août 2011
Mozinet lundi 29 août 2011, 23:20 Mozilla

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : http://blogzinet.free.fr/blog/index.php?trackback/347

Fil des commentaires de ce billet

Page top