Compromission de l'autorité de certification DigiNotar

Un intrus a pris le contrôle total de l'autorité de certification néerlandaise DigiNotar, émettant plus de 500 certificats SSL frauduleux — dont un certificat générique *.google.com utilisé pour espionner quelque 300 000 utilisateurs iraniens de Gmail — et provoquant la faillite de l'entreprise.

Le 30 août 2011, l'autorité de certification néerlandaise DigiNotar a confirmé qu'un attaquant avait pénétré son réseau et abusé de sa position de confiance dans l'infrastructure à clés publiques (PKI) mondiale pour émettre plus de 500 certificats SSL/TLS frauduleux. L'incident constitue un jalon de la sécurité d'Internet : il a démontré que tout le modèle de confiance du web pouvait être subverti par la compromission d'une seule autorité de certification, et il s'est soldé par la faillite de DigiNotar en quelques semaines.

Ce qui s'est passé

DigiNotar était une petite autorité de certification néerlandaise, rachetée par VASCO Data Security en janvier 2011, dont les certificats étaient approuvés par tous les principaux navigateurs. Elle exploitait également PKIoverheid, l'infrastructure de certificats sous-tendant une grande partie des services numériques du gouvernement néerlandais.

Selon l'enquête médico-légale de Fox-IT (le rapport « Operation Black Tulip »), le périmètre externe du réseau de DigiNotar a été compromis le 17 juin 2011. L'intrus s'est déplacé latéralement — exploitant une segmentation réseau déficiente, des règles de pare-feu faibles et des logiciels obsolètes — et a atteint les serveurs d'émission de certificats le 1er juillet. L'attaquant a fini par prendre le contrôle des huit serveurs de l'autorité de certification.

Entre le 10 et le 20 juillet 2011, l'intrus a généré plus de 500 certificats frauduleux pour des domaines de grande valeur, dont un certificat générique *.google.com, ainsi que des certificats usurpant Yahoo, Mozilla, Skype, Microsoft Update, la CIA, le MI6 et le Mossad.

Impact

Un certificat frauduleux *.google.com a été utilisé dans des attaques de type homme du milieu pour intercepter le trafic Gmail d'environ 300 000 internautes iraniens — la finalité réelle apparente de l'attaque.
Le 29 août 2011, Microsoft, Mozilla, Google et Apple ont révoqué la confiance accordée à tous les certificats racine de DigiNotar. Comme DigiNotar sous-tendait l'administration électronique néerlandaise, les hôpitaux, les tribunaux et les services financiers, la révocation a paralysé des pans de l'infrastructure nationale néerlandaise, contraignant le gouvernement à prendre le contrôle opérationnel d'urgence de l'entreprise.
DigiNotar a été déclarée en faillite le 20 septembre 2011, moins d'un mois après la divulgation.

Attribution

Un pirate utilisant l'alias « ComodoHacker » — qui avait compromis l'autorité de certification Comodo quelques mois plus tôt, en mars 2011 — a revendiqué l'attaque, laissant une signature dans un fichier texte sur les serveurs de DigiNotar et publiant des messages présentant l'opération comme une représaille. Les enquêteurs ont estimé que l'attaquant opérait depuis l'Iran, et le ciblage des utilisateurs iraniens de Gmail pointait fortement vers des objectifs de surveillance étatique.

Pourquoi c'est important

DigiNotar est l'étude de cas de référence sur la fragilité de la PKI : la confiance dans le web repose sur des centaines d'autorités de certification, et la compromission de l'une d'entre elles peut toutes les compromettre. L'incident a directement accéléré des réformes du secteur — notamment la Certificate Transparency, des journaux publics qui rendent détectable l'émission de certificats frauduleux, et des exigences d'audit plus strictes du CA/Browser Forum. Il reste l'exemple type expliquant pourquoi les autorités de certification figurent parmi les cibles les plus précieuses sur Internet.

Chronologie

17 juin 2011

Le périmètre externe du réseau de DigiNotar est compromis pour la première fois, selon l'enquête ultérieure de Fox-IT.

1 juillet 2011

L'intrus se déplace à travers des systèmes compromis pour atteindre les serveurs d'émission de certificats de l'autorité de certification.

10 juillet 2011

Le premier certificat frauduleux est émis avec succès ; entre le 10 et le 20 juillet, plus de 500 certificats frauduleux sont générés.

19 juillet 2011

DigiNotar détecte l'intrusion en interne mais ne la divulgue pas publiquement.

28 août 2011

Un certificat frauduleux *.google.com est signalé dans la nature, utilisé dans des attaques de type homme du milieu contre des utilisateurs iraniens.

29 août 2011

Les principaux navigateurs et systèmes d'exploitation commencent à retirer les certificats racine de DigiNotar de leurs magasins de confiance.

20 septembre 2011

DigiNotar est déclarée en faillite par un tribunal de Haarlem.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/DigiNotar

threatpost.comhttps://threatpost.com/final-report-diginotar-hack-shows-total-compromise-ca-servers-103112/77170/

enisa.europa.euhttps://www.enisa.europa.eu/sites/default/files/all_files/Operation_Black_Tulip_v2.pdf

eff.orghttps://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack

theregister.comhttps://www.theregister.com/2011/09/20/diginotar_bankrupt/

Incidents liés

Exploitation de vulnérabilitéEn cours10 juin 2026

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim: Ivanti Sentry

Exploitation de vulnérabilitéContenu9 juin 2026

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim: ServiceNow

Exploitation de vulnérabilitéContenu8 juin 2026

Compromission de comptes Instagram via l'outil « High Touch Support » de Meta (2026)

Des attaquants ont exploité une faille de vérification dans l'outil de récupération de compte assisté par IA d'Instagram, High Touch Support, pour déclencher des réinitialisations de mot de passe et détourner 20 225 comptes avant que Meta ne détecte et désactive l'outil.

Victim: Meta Platforms (Instagram)

Exploitation de vulnérabilitéContenu9 mai 2026

765 utilisateurs concernés par une fuite revendiquée chez Média31

Le 9 mai 2026, l'acteur AplaGroup a revendiqué une intrusion dans Média31, la plateforme de médiathèque en ligne du réseau des médiathèques de Haute-Garonne, exposant les données d'environ 765 utilisateurs ; l'intrusion a été confirmée le 21 mai 2026.

Victim: Média31
Records: 765