Tout d'abord, les certificats SSL ne sont pas gratuits et beaucoup de propriétaires de sites web ne veulent pas payer pour le chiffrement de la navigation sur leur site web en HTTPS.
Deuxièmement, les certificats SSL eux-mêmes ne sont pas toujours faciles à mettre en place par le premier webmaster venu.
L’organisation Let’s Encrypt, soutenue par des géants du Net tels que Akamai, Cisco, the Electronic Frontier Foundation (EFF), Facebook et Mozilla, a été créée avec pour objectif d’éliminer les deux obstacles cités plus haut.
Le but de ce projet sera donc de fournir des certificats SSL gratuits à tous les propriétaires de sites web qui en feront la demande.
Toutefois, le risque potentiel pour Let’s Encrypt d’être abusé par des pirates a toujours existé.
Il y a donc à peine un mois, Let’s Encrypt a ouvert son programme bêta pour offrir des certificats HTTPS gratuits au public. Seulement voilà.
Les pirates n’ont pas attendu longtemps pour commencer à abuser ce service et l'utiliser pour distribuer des logiciels malveillants à partir de noms de domaine apparemment sûrs.
C’est l’entreprise de sécurité informatique Trend Micro qui a tiré la sonnette d’alarme pour alerter les utilisateurs japonais qui naviguaient sur des sites en HTTPS via Let’s Encrypt et prévenir qu’ils transitaient en fait sur des serveurs malveillants.
Ces serveurs hébergeaient un système piraté dénommé Angler Exploit Kit qui téléchargeait un Trojan de données bancaires pour infecter automatiquement les ordinateurs Windows. Ce Trojan ou Cheval de Troie permettait ainsi aux pirates d'accéder à distance à ces ordinateurs à l’insu des utilisateurs.
Trend Micro affirme que le pirates utilisent une technique appelée “domain shadowing” (nom de domaine invisible) à partir de laquelle ils réussissent à accéder à un nom de domaine de confiance (par exemple, le site web principal d’une banque) pour rediriger les utilisateurs infectés vers un serveur qu’ils contrôlent et hébergent ailleurs.
Et ce, tout en dissimulant leur activité en utilisant un sous-domaine protégé par un certificat de sécurité de Let’s Encrypt.
Dans l'affaire sur laquelle enquêtait Trend Micro, les pirates ont hébergé une publicité qui donne l’impression d’être celle d’un nom de domaine légitime.
L’organisation Let’s Encrypt affirme de son côté que cela est possible parce que Let’s Encrypt vérifie uniquement les noms de domaine par le biais de “Google safe browsing API” avant de délivrer des certificats HTTPS.
Google Safe Browsing (ou "Safe Browsing") est un service fourni gratuitement par Google pour sécuriser la navigation. Il est inclus, nativement, dans plusieurs navigateurs et permet, via plusieurs filtres, de rechercher en permanence la présence du nom de domaine (site Internet) de chaque lien (URL) sur lequel vous cliquez (lien dans les pages Web visitées, liens des résultats de recherches avec un moteur de recherche, etc. ...) dans deux listes noires.
Cette précaution préalable de Let’s Encrypt via Google Safe Browsing n’empêche pas que des pirates obtiennent un certificat et créent des sous-domaines avec des malwares sous l’apparence d’un site légitime.
Selon le rapport de Trend Micro, l'incident met en évidence les problèmes potentiels avec le service gratuit de Let's Encrypt et demande instamment à l'organisation d'être disposée à annuler immédiatement les certificats qui auraient été utilisées à mauvais escient.
Affaire à suivre…
