Les certificats SSL contrefaits étudiés à la loupe

Ariane Beky,

Des connexions web « sécurisées » s’appuient sur des certificats contrefaits. Leur pourcentage est faible mais préoccupant, observent des chercheurs de Carnegie Mellon. En cause : le piratage des clés de chiffrement et les pressions exercées par des gouvernements.

Une équipe composée de chercheurs de l’université Carnegie Mellon et d’ingénieurs de Facebook a étudié la proportion de certificats contrefaits dans des connexions web utilisant le protocole de sécurisation des échanges SSL (Secure Sockets Layer) ou son successeur TLS (Transport Layer Security). Les certificats contrefaits sont utilisés pour intercepter des communications chiffrées entre clients et serveurs (attaque de l’homme du milieu ou man-in-the-middle).

« L’homme du milieu »

Pour cette étude – probablement la première du genre – 3 millions de connexions au réseau social Facebook ont été analysées. À 0,2%, le pourcentage de connexions basées sur de faux certificats est faible mais inquiétant. Certaines connexions sont interceptées par des malwares, mais la plupart sont liées à des antivirus (Bitdefender, Kaspersky…) et systèmes professionnels de filtrage, pare-feu inclus.

D’après les chercheurs, il est possible que des clés de chiffrement utilisées par des entreprises aient été piratées ou que des gouvernements aient exercé une pression sur des fournisseurs pour les obtenir et mener leurs propres attaques. Selon les configurations, un attaquant ayant intercepté du trafic HTTPS (HyperText Transfer Protocol Secure) peut le déchiffrer. Dans ce cas, les identifiants et d’autres données personnelles peuvent être exposés au vol.

« Il faut se méfier des pirates professionnels capables de voler la clé privée du certificat de fournisseurs de logiciels antivirus (et) d’espionner leurs utilisateurs – puisque le certificat racine de l’antivirus serait approuvé par le client », expliquent-ils. Avant d’ajouter : « en théorie, les gouvernements pourraient également contraindre les fournisseurs d’antivirus pour qu’ils leur remettent leurs clés de chiffrement ».

Une technique de détection

Dans leur étude de 15 pages, les auteurs exposent leur méthode permettant d’évaluer le nombre de visiteurs qui utilisent des certificats contrefaits pour se connecter à un site web. La technique, qui utilise un code basé sur Adobe Flash, peut être utilisée pour mieux appréhender les vulnérablités d’un site.

« Notre but n’était pas d’échapper aux attaques de l’homme du milieu avec notre mécanisme de détection », avertissent les chercheurs. Ils recommandent aux sites web de déployer « de multiples moyens de défense, en parallèle, pour une meilleur protection ». Après la faille Heartbleed, qui a exposé les clés de chiffrement privées d’un demi-million de sites web, mieux vaut prévenir !

Lire aussi

Faille Heartbleed : la check-list pour s’en sortir