Le gouvernement néerlandais a reconnu dimanche qu’une entreprise de sécurité informatique implantée sur son sol avait été au centre d’une importante cyberattaque qui semble impliquer des ressortissants iraniens.

DigiNotar, une société néerlandaise qui certifie l’authenticité des sites Internet, a été piraté en juillet, ont confirmé les autorités des Pays-Bas. Une opération qui a permis aux cybercriminels de créer des faux certificats pour des sites aussi établis que Google, Facebook, Skype ou encore celui de la CIA ou du Mossad (services secrets israéliens). Le ministère de l’Intérieur a rendu public dimanche une liste de 531 fausses signatures numériques qui inclut également des sites d’opposition au régime iranien.

Une attaque de grande ampleur qui a pu affecter potentiellement les internautes du monde entier. En effet, il n'est possible de se connecter à un site sécurisé - comme sa messagerie électronique ou sa banque en ligne - que si ce dernier dispose d’un certificat d’authentification. Sans ce sésame, le navigateur va prévenir l’utilisateur que le site qu’il s’apprête à visiter n’est pas fiable.

L’intérêt pour un pirate informatique de pouvoir falsifier des certificats qui sont apparemment délivrés par une société réputée fiable, comme DigiNotar, est qu’il peut ainsi créer des faux Google ou des faux Skype qui seront reconnus comme authentiques et sûrs. Une fois pris ainsi au piège, l’internaute risque de télécharger sans le vouloir des virus depuis le faux site et le cybercriminel récupère également les mots de passe et logins pour des sites qui les requièrent (Skype, Facebook, etc.). Google, le premier site à avoir prévenu les utilisateurs de ses services du problème fin août, affirme que la plupart des victimes de cette opération se trouvent en Iran.

Question de confiance

L’analyse des faux certificats par des experts en informatique révèle d’autres indices qui semblent impliquer des cybercriminels iraniens, probablement sympathisants du président Mahmoud Ahmadinejad. Ces documents contiennent en effet des expressions en farsi qui signifient, entre autres, "le soldat inconnu" ou "je sacrifie ma vie pour le dirigeant".

Les autorités néerlandaises ont, d’ailleurs, annoncé qu’une enquête avait été lancée pour savoir si le régime de Téhéran était impliqué dans cette affaire. Les conclusions préliminaires seront remises au Parlement néerlandais cette semaine.

La plupart des faux certificats ont, depuis plusieurs semaines, été inscrits sur une liste noire par les navigateurs Internet tels que Firefox, Chrome ou Internet Explorer. Si le danger semble donc cette fois-ci éloigné, il n’en demeure pas moins que cette attaque fait planer sur la Toile "une menace plus grande que Stuxnet [le virus qui a ralenti le programme nucléaire iranien l’année dernière, NDLR]", estime l’entreprise de sécurité informatique russe Kapersky sur son blog. "En démontrant que l’on peut se faire passer pour des sites très connus, cette attaque risque de remettre en cause la confiance qu’on peut avoir sur la Toile", explique à France 24 Laurent Heslault, responsable de la sécurité des réseaux chez Symantec, un concurrent de Kapersky.

Une menace d’autant plus sérieuse que deux autres sociétés similaires à DigiNotar (Comodo et RSA) ont été attaquées cette année. Dans le cas de Comodo, le piratage avait été revendiqué par un Iranien. Une tendance qui prouverait, selon Laurent Heslault, "qu’après la vague des attaques contre les infrastructures (les sites), celles pour voler ou falsifier des informations en ligne, l’étape suivante est de s’en prendre à l’identité et l’authenticité des sites internet".