Pourquoi les cadenas (HTTPS) ne sont pas aussi efficaces qu’on le pense?

Pendant des années, Apple, Firefox, Google et Microsoft ont insisté sans relâche sur le fait que, pour éviter les sites malveillants, vous devez vous assurer que le «cadenas» de votre navigateur est verrouillé, vert ou indique autrement qu’un site est «sécurisé». Maintenant, les entreprises de cybersécurité soulignent que ces cadenas ne suffisent pas.

«Vous devez regarder au-delà du verrou», a déclaré Dean Coclin, directeur principal du développement commercial chez DigiCert. «On ne peut tout simplement plus leur faire confiance.»

En effet, des années après que tous les principaux navigateurs aient ajouté des indices de sécurité visuelle à leurs barres d’adresse, la majorité des individus malveillants les utilisent également.

cadenas https

Le groupe de travail anti-hameçonnage (APWG) a publié une étude (PDF) qui a suivi une forte augmentation des attaques d’hameçonnage au deuxième trimestre de 2020. La montée en flèche implique des sites non fiables utilisant le protocole cryptographique Transport Layer Security ou TLS, le plus souvent désigné par son l’appellation Secure Sockets Layer ou SSL.

Les cadenas SSL indiquent qu’un navigateur utilise un canal de communication sécurisé et chiffré vers le serveur hébergeant le site Web souhaité. Les avertissements SSL sont également complétés par l’indication supplémentaire «HTTPS» dans la barre d’adresse du navigateur, ce qui signifie que le navigateur transmet des informations en toute sécurité en utilisant Hypertext Transfer Protocol Secure.

Le nombre d’abus de certificats explose

Selon le rapport de l’APWG, 80% des sites d’hameçonnage ont utilisé des certificats SSL au deuxième trimestre. Les attaques allaient des leurres d’hameçonnage pointant vers de faux sites de transfert électronique, aux plateformes de réseaux sociaux Facebook et WhatsApp qui étaient bombardées de liens vers des domaines louches.

Les abus de certificats TLS/SSL ont posé problème à l’industrie pendant des années. Mais aujourd’hui, le problème est devenu chronique, a déclaré Coclin. «Depuis que le dernier grand navigateur a ajouté des avertissements SSL à sa barre d’adresse, les individus malveillants utilisent également le cadenas SSL/TLS», a-t-il déclaré.

Les hameçonneurs se sont améliorés

Les certificats de domaine non autorisés ont été principalement limités aux acteurs malveillants qui ont acquis ce que l’on appelle des ‘certificats validés par domaine’ acquis gratuitement auprès de services tels que Let’s Encrypt.

Les certificats de validation de domaine sont une solution simple pour sécuriser les communications entre un navigateur Web et un serveur à l’aide du chiffrement TLS. Plusieurs services gratuits ont un système de libre-service automatisé qui vérifie uniquement qu’un candidat a le contrôle d’un domaine avant d’émettre un certificat gratuit. C’est un système propice aux abus lors de la délivrance de certificats de validation de domaine, selon les experts.

Les certificats de validation étendue et de validation organisationnelle sont considérés comme plus sécurisés. Ces certificats de niveau supérieur utilisés par les banques, les assureurs et les sites de commerce électronique nécessitent un contrôle approfondi des candidats pour s’assurer que les sites sont bien ce qu’ils prétendent être. Mais maintenant, l’APWG rapporte que même les certificats de validation étendue peuvent ne pas être aussi fiables qu’on le pensait autrefois.

cadenas
Pourcentage d’attaques d’hameçonnage hébergées sur un site HTTPS (Q=Quarter=Trimestre)

«En plus, l’émergence observée de sites d’hameçonnage utilisant des certificats de validation étendue au deuxième trimestre de 2020 est un rappel brutal que les hameçonneurs retournent de plus en plus les fonctionnalités de sécurité contre les utilisateurs», indique le rapport.

Sur toutes les attaques examinées dans le rapport de l’APWG, 91% des certificats utilisés dans les attaques d’hameçonnage étaient validés par domaine.

«Fait intéressant, nous avons trouvé 27 sites Web qui utilisaient des certificats de validation étendue», selon John LaCour, fondateur et directeur technique de la société de protection contre les risques numériques PhishLabs.

«Cette utilisation de certificats à validation étendue est une affaire sérieuse. L’intérêt d’un certificat à validation étendue est qu’il faut une vérification de l’identité juridique de l’entité requise avant que le certificat ne soit délivré », selon le rapport.

Les pirates informatiques qui ont ces certificats de validation étendue n’ont pas acquis les certificats légitimement, ils ont plutôt piraté des sites qui les avaient déjà, indiquent le rapport.

Les pirates informatiques «tournent de plus en plus les fonctionnalités de sécurité contre les utilisateurs», a écrit PhishLabs, dans un article récent de blog sur le sujet.

La principale préoccupation est que les certificats de domaine ou de domaine étendu offrent aux criminels un moyen simple de faciliter l’utilisation de sites Web, l’usurpation d’identité de serveur, les attaques d’intermédiaire et un moyen de faufiler les logiciels malveillants à travers les pare-feu de l’entreprise.

Les utilisateurs peu méfiants peuvent penser qu’ils communiquent avec des sites dignes de confiance parce que l’identité du site a été validée par une autorité de certification, sans se rendre compte qu’il s’agit de certificats étendus piratés ou validés par domaine.

La réaction des entreprises de navigateurs, a déclaré Coclin, a été de déployer de nouveaux outils de navigation sécurisés tels que le Safe Browsing de Google pour Chrome et le filtre SmartScreen de Microsoft, qui facilite la navigation en toute sécurité pour les navigateurs Internet Explorer et Edge.

Coclin prévient qu’il s’agit de solutions provisoires et que ce qu’il faut vraiment faire, c’est une refonte du système d’enregistrement de domaine. «Pourquoi les gens sont autorisés à enregistrer des domaines clairement frauduleux en premier lieu, je ne sais pas», a-t-il déclaré. “Le problème est que personne ne veut s’attaquer à ce problème. Et jusqu’à ce que quelqu’un le fasse, vous devez regarder au-delà du cadenas.”

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x