Une équipe composée de chercheurs de l’université Carnegie Mellon et d’ingénieurs de Facebook a étudié la proportion de certificats contrefaits dans des connexions web utilisant le protocole de sécurisation des échanges SSL (Secure Sockets Layer) ou son successeur TLS (Transport Layer Security). Les certificats contrefaits sont utilisés pour intercepter des communications chiffrées entre clients et serveurs (attaque de l’homme du milieu ou man-in-the-middle).
Pour cette étude – probablement la première du genre – 3 millions de connexions au réseau social Facebook ont été analysées. À 0,2%, le pourcentage de connexions basées sur de faux certificats est faible mais inquiétant. Certaines connexions sont interceptées par des malwares, mais la plupart sont liées à des antivirus (Bitdefender, Kaspersky…) et systèmes professionnels de filtrage, pare-feu inclus.
D’après les chercheurs, il est possible que des clés de chiffrement utilisées par des entreprises aient été piratées ou que des gouvernements aient exercé une pression sur des fournisseurs pour les obtenir et mener leurs propres attaques. Selon les configurations, un attaquant ayant intercepté du trafic HTTPS (HyperText Transfer Protocol Secure) peut le déchiffrer. Dans ce cas, les identifiants et d’autres données personnelles peuvent être exposés au vol.
« Il faut se méfier des pirates professionnels capables de voler la clé privée du certificat de fournisseurs de logiciels antivirus (et) d’espionner leurs utilisateurs – puisque le certificat racine de l’antivirus serait approuvé par le client », expliquent-ils. Avant d’ajouter : « en théorie, les gouvernements pourraient également contraindre les fournisseurs d’antivirus pour qu’ils leur remettent leurs clés de chiffrement ».
Dans leur étude de 15 pages, les auteurs exposent leur méthode permettant d’évaluer le nombre de visiteurs qui utilisent des certificats contrefaits pour se connecter à un site web. La technique, qui utilise un code basé sur Adobe Flash, peut être utilisée pour mieux appréhender les vulnérablités d’un site.
« Notre but n’était pas d’échapper aux attaques de l’homme du milieu avec notre mécanisme de détection », avertissent les chercheurs. Ils recommandent aux sites web de déployer « de multiples moyens de défense, en parallèle, pour une meilleur protection ». Après la faille Heartbleed, qui a exposé les clés de chiffrement privées d’un demi-million de sites web, mieux vaut prévenir !
Lire aussi
Faille Heartbleed : la check-list pour s’en sortir
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…