05/12/2025
IT-Connect » Actualités » Actu Cybersécurité » Trois certificats TLS suspects ont été émis pour le DNS 1.1.1.1 de Cloudflare, que se passe-t-il ?

Cloudflare - Des certificats TLS suspects émis pour le DNS 1.1.1.1
Actu Cybersécurité

Trois certificats TLS suspects ont été émis pour le DNS 1.1.1.1 de Cloudflare, que se passe-t-il ?

Florian BURNEL 1 commentaire

Que se passe-t-il avec le service DNS 1.1.1.1 de chez Cloudflare ? Trois certificats TLS suspects ont été émis, ce qui expose potentiellement les utilisateurs de Windows. À qui appartiennent ces certificats ? Quels sont les risques ? Voici ce que l'on sait.

Des certificats émis par une entreprise croate

Une alerte de sécurité a été émise au sujet de trois certificats TLS associés au service DNS 1.1.1.1 de Cloudflare, l'un des résolveurs DNS publics les plus utilisés au monde. Il est utilisable en tant que DNS traditionnel (flux non chiffré, sur le port 53), mais aussi avec des requêtes chiffrées via DNS-over-HTTPS (DoH).

Les certificats suspects ont été repérés récemment, et pourtant, ils ont été émis en mai 2025. Selon Ryan Hurst, PDG de Peculiar Ventures et expert en infrastructure à clé publique (PKI), le détenteur de ces certificats pourrait lancer des attaques de type "adversary-in-the-middle" (AitM). Concrètement, cela lui permettrait de se positionner entre les utilisateurs et les serveurs de Cloudflare pour mener différentes actions :

  • Consulter et même modifier les requêtes DNS des utilisateurs.
  • Intercepter les communications.
  • Déchiffrer le trafic.

Tout cela reste de la théorie et des hypothèses, puisque nous ne connaissons pas les intentions de l'entreprise à l'origine de l'émission de ces certificats : Fina, une entreprise croate.

Suite à la divulgation de cet incident, Cloudflare a rapidement réagi en confirmant ne jamais avoir autorisé l'émission de ces certificats. L'entreprise américaine précise : "Cloudflare n'a pas autorisé Fina à émettre ces certificats. En voyant le rapport [...], nous avons immédiatement lancé une enquête et contacté Fina, Microsoft et l'organisme de surveillance de Fina [...] À ce jour, nous n'avons pas encore eu de retour de Fina."

Pourquoi ces certificats sont-ils valides ?

L'origine du problème se situe au niveau de l'autorité de certification (CA) émettrice : Fina RDC 2020, une CA intermédiaire dépendante de Fina Root CA. Cette dernière, gérée par l'entreprise Fina, est une autorité racine reconnue de confiance par le programme de certificats de Microsoft. Le lien entre Microsoft et les utilisateurs, c'est... Windows ! Par conséquent, les 3 certificats TLS sont considérés comme valides sur les machines Windows.

De son côté, Microsoft a assuré avoir "contacté l'autorité de certification pour demander une action immédiate. Nous prenons également des mesures pour bloquer les certificats concernés via notre liste de certificats non autorisés afin de protéger nos clients."

Reste à savoir pourquoi la détection a été aussi longue…! Une chose est certaine : le mécanisme de Certificate Transparency, conçu précisément pour détecter et signaler rapidement ce type d'émission frauduleuse, n'a pas rempli son rôle. Dans le même temps, cet incident met en lumière les risques associés aux "pouvoirs" des autorités de certification racine.

Google et Mozilla ont confirmé par e-mail que Chrome et Firefox n’avaient jamais accordé leur confiance aux certificats Fina : les utilisateurs n’ont donc rien à faire. De son côté, Apple a renvoyé vers la liste officielle des autorités de certification reconnues par Safari… où la CA de Fina est tout simplement absente !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Groupe Altice (SFR) victime du ransomware Hive

Ransomware : le groupe Altice (SFR) victime d’une cyberattaque, revendiquée par le groupe Hive

Florian BURNEL 0
Linux - deux nouvelles failles CVE-2025-6018 et CVE-2025-6019

Linux : l’exploitation de ces deux failles de sécurité permet de devenir root !

Florian BURNEL 0

RedLine : attention à cette fausse mise à niveau Windows 11 !

Florian BURNEL 0

1 commentaire sur “Trois certificats TLS suspects ont été émis pour le DNS 1.1.1.1 de Cloudflare, que se passe-t-il ?

  • C’est très simple,.fina est une entreprise d’etat qui sert a encaisser les transactions des paiements des services : électricité, factures diverses, concession des cimetières, l’eau, les ordures ménagères etc. Donc en fait a vu de nez fina s’est fait pétée. Les pirates ont généré des certificats pour détourner les paiements, des milliards d’euros. Quand aux Américains,  » nous ne connaissons pas les intentions de fina » c’est a mourir de rire. Cette culture de la suspicion belliqueuse permanente et l’ignorance crasse de leur cerveau ! S’ils s’étaient renseigné un minimum il ne se poseraient pas la question. La Croatie est un pays propre, écolo, les autoroutes sont neuves, les stations essence ne manquent jamais de gants et d’essuie tout et les pistolets de carburants ne sont pas souillés. Ce n’est pas le pays de l’est typique des films de gangster ou dès qu’il se passe un truc mafieux cela se passe en ex-Yougoslavie !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.