Let’s Encrypt : une porte ouverte pour le phishing ?

Sécurité : L’offre de certificats gratuits proposée par Let’s Encrypt est généralement vue comme une aubaine qui a permis aux administrateurs de site web de facilement adopter le chiffrement HTTPS sur leurs sites. Mais ces certificats sont également utilisés par des cybercriminels qui souhaitent légitimer leurs sites contrefaits.

L’enfer est pavé de bons sentiments et les certificats n’échappent pas à la maxime. Lorsqu’un utilisateur cherche à s’assurer qu’il est bien sur un site légitime tel que Facebook ou Google et non sur une version contrefaite de ce site, le réflexe traditionnel est de jeter un œil à la barre d’adresse afin de chercher le cadenas vert HTTPS. Une bonne pratique, conseillée par beaucoup, mais qui se révèle en réalité insuffisante : HTTPS seul ne suffit pas à prouver que le site est bien ce qu’il prétend être.

Et la recrudescence de certificats Let’s Encrypt pour des noms de domaines dérivés de paypal.com soulève des inquiétudes : comme l’explique sur son blog l’ingénieur de Google Eric Lawrence, le nombre de certificats émis par PayPal et qui concernent des noms de domaines contenant « PayPal » a explosé en ce début d’année. Les certificats émis par l’autorité sont publics, ce qui permet de constater que Let’s Encrypt a ainsi fourni 988 certificats à des sites dont le nom de domaine contient la chaîne de caractère « PayPal. » Ce chiffre s’élevait à 409 certificats au 8 décembre 2016, ce qui indique une progression nette. Certain de ces certificats sont probablement attribués à des services légitimes, mais on se doute que la plupart d’entre eux sont utilisés pour des services de phishing qui souhaitent se faire passer pour un service lié à PayPal et profitent de la facilité d’utilisation de Let’s Encrypt pour rendre leur tentative plus crédible en bénéficiant du fameux « cadenas vert » conféré par l’activation de HTTPS sur le site. L’utilisation de certificats Let’s Encrypt par des cybercriminels n’est pas un phénomène nouveau : Trend Micro alertait déjà sur des campagnes de ce type en début d’année 2016.

On pourrait blâmer Let’s Encrypt pour sa politique, mais l’autorité de certification a clarifié dès ses débuts sa position sur la question. Pour Josh Aas, fondateur de l’ISRG et de Let’s Encrypt, le rôle de l’autorité de certification n’est pas de vérifier l’authenticité et la validité des contenus publiés sur le web. « Le combat contre les malwares et le phishing est important, mais cela n’a pas de sens de placer les autorités de certifications en ligne de front dans cette bataille, particulièrement dans le cas des certificats DV » écrivait-il ainsi dans un post de blog daté de 2015. Ces certificats DV, le type de certificats proposés gratuitement par Let’s Encrypt, ne garantissent en effet que « l’organisation en question possède le droit exclusif d’utilisation du nom de domaine pour lequel elle souhaite recevoir le certificat. » L’autorité ne vérifie ni l’identité du demandeur ni le contenu du site derrière le nom de domaine et se contente d’assurer le fait que le demandeur dispose bien des droits sur le nom de domaine en question.

Le cadenas vert ne fait pas le moine

Alors à qui la faute ? Eric Lawrence évoque plusieurs pistes : d’une part les navigateurs qui « survendent » le cadenas HTTPS en indiquant aux utilisateurs que le site en disposant est « sécurisé. » D’autre part les sites web qui rechignent à mettre en place HTTPS tant que les navigateurs ne les y incitent pas. Et enfin les utilisateurs, qui manquent d’éducation à l’égard des problématiques de sécurité. Cadenas vert ou non, un site qui vous redirige vers « paypal-secure-server.topdrinks.ro » mérite probablement toute votre suspicion. Mais ces trois acteurs de l’écosystème ont tous leurs propres logiques, et la sécurité s’incline parfois devant des contraintes de temps et de compétence.

Eric Lawrence esquisse enfin un début de solution, en relayant la réflexion d’un autre ingénieur Google, Owen Campbell Moore. Dans un post de blog, celui-ci se penche sur le problème de la barre d’URL et argumente en faveur d’une remise en question complète de celle-ci afin d’éviter la confusion pour les utilisateurs. Au lieu d’afficher une URL souvent difficilement compréhensible et facile à abuser, Owen Campbell Moore propose de simplement afficher le nom ou la marque associé au site en question. Une direction déjà empruntée par le système de certificats : les certificats EV garantissent ainsi l’identité de la société utilisant le nom de domaine certifié et le nom du détenteur du certificat s’affiche en toutes lettres dans la barre d’URL. Mais ceux-ci sont chers, assez peu utilisés et mal compris par les utilisateurs.

Le problème du phishing n’a donc pas vraiment de solution simple et rapide, mais les lignes bougent. L’arrivée de Let’s Encrypt sur le marché apporte évidemment de nouveaux risques et peut sembler être une aubaine pour les cybercriminels. Mais l’autorité de certification a également permis un véritable bond en avant en matière de chiffrement des communications sur le web.

Let’s Encrypt : une porte ouverte pour le phishing ?

Source : L’article << Let’s Encrypt : une porte ouverte pour le phishing ? >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

By | 2017-03-19T17:22:21+00:00 mars 19th, 2017|Actualité|0 Comments

Leave A Comment