Vrais-faux certificats Comodo : l’Iran suspecté Jérôme Saiz le 25 mars 2011 - 17:29, dans la rubrique Alertes & Menaces Comments (2) Tweet L’affaire est inédite et gravissime : un attaquant serait parvenu à générer neuf vrais-faux certificats pour des domaines majeurs (Google Mail, Yahoo, Live.com, addons.mozilla.org et Skype notamment…). Cela signifie que, s’il contrôle également l’infrastructure DNS de ses victimes, il est en mesure de remplacer tous ces sites par des copies parfaites. Les utilisateurs qui s’y connecteraient de manière sécurisée (via HTTPS) seraient alors dans l’incapacité de faire la différence entre le vrai site et sa copie contrôlée par l’attaquant.Les certificats sont produits à la demande par l’américain Comodo, qui s’appuie sur un réseau d’autorités d’enregistrement (RA) indépendantes réparties à travers le monde. Ce sont elles qui opèrent sur le terrain les vérifications d’identité nécessaires à l’émission d’un certificat, et c’est l’une de ces dernières, en Europe, qui aurait été compromise. L’attaquant aurait alors demandé à générer neuf certificats pour des domaines majeurs, quasiment tous dans le domaine des communications (email et téléphonie sur internet).Comodo annonce avoir détecté la fraude et révoqué les certificats concernés en quelques heures. D’après l’alerte officielle un seul de ces certificats (celui du domaine login.yahoo.com) a été activé avant d’être révoqué. Les principaux éditeurs de navigateurs ont depuis publié une mise à jour afin de prendre en compte la révocation de ces certificats.A qui profite le crime ?Générer de vrais-faux certificats est le graal de tout pirate, car la confiance numérique repose justement sur le certificat. Muni d’un tel outil un pirate est en mesure de faire passer n’importe quel faux site sous son contrôle pour un autre de son choix.Mais il y a un hic : il est bien beau d’avoir un certificat pour, par exemple, le domaine google.com. Mais comment diriger les internautes qui saisissent www.google.com dans leur navigateur vers le faux site ? Dans la plupart des cas l’attaquant pourra exploiter un nom de domaine ressemblant (www.g00gle.com par exemple) puis mener une campagne de phishing par email en espérant que ses victimes n’y verront que du feu. Dans le meilleur des cas il devra mener une seconde attaque contre les serveurs DNS de sa victime (une entreprise, un fournisseur d’accès) afin de pouvoir en rediriger à sa guise les utilisateurs. Et cela n’est pas toujours trivial.A moins que l’attaquant ne soit un Etat. Car une nation, a fortiori totalitaire, contrôle sa propre infrastructure DNS. Il lui est donc parfaitement possible de diriger toutes les requêtes émises par ses ressortissants vers les sites de son choix. Et avec de vrais-faux certificats pour ces derniers, même les connexions sécurisées seront détournées.Comodo a identifié la source de l’attaque comme étant située en Iran. Cela ne signifie pas en soit que l’attaque a été commanditée par le régime Iranien, mais d’autres éléments viennent donner du crédit à cette hypothèse.D’abord la technicité de l’attaque, qui d’après l’alerte officielle émise par Comodo, porte la signature d’un Etat : l’opération aurait été menée avec une « précision chirurgicale » et elle n’est réellement intéressante que si l’on contrôle l’infrastructure DNS.Ensuite la cible : les domaines visés concernent quasi-exclusivement des outils de communication. Or un attaquant motivé par l’argent aurait probablement visé de préférence des services de paiement en ligne, par exemple. En revanche pour un Etat totalitaire ayant montré une forte volonté de contrôler Internet et les communications de ses citoyens, cibler de tels services de communication trouve tout son sens. Et l’Iran a, hélas, fait largement ses preuves en la matière.Reste à justifier l’intérêt de l’attaquant pour le domaine addons.mozilla.org, qui fait tâche au milieu des GMail, Yahoo et autres Microsoft Live.com détournés. A première vue l’on pourrait penser qu’il s’agit d’une tentative d’installer un quelconque cheval de Troie via des extensions pour Firefox. Mais le chercheur Eric Chien, de Symantec (à qui l’on doit déjà une excellente étude de Stuxnet) propose une autre explication : ce pourrait être afin d’empêcher l’installation d’extensions destinées à contourner les mesures de censure mis en place par certains Etats, dont l’Iran (merci à F-Secure pour avoir relayé cette information)S’il n’y a donc à ce jour aucune preuve attribuant la responsabilité de cette attaque à l’Iran, les présomptions sont toutefois fortes. Un prêté pour un rendu après l’épisode Stuxnet ? La signature d’un Etat totalitaire prêt à tout pour reprendre l’avantage sur des opposants toujours plus technophiles ? L’affaire est en tout cas une première et elle confirme, s’il en était encore besoin, que le cyber est effectivement devenu un champ de bataille officiel.La liste des domaines usurpés :addons.mozilla.orglogin.live.commail.google.comwww.google.comlogin.yahoo.comlogin.skype.comglobal trustee (si vous avez des informations sur celui-ci, nous sommes preneurs !) Vous avez aimé cet article?Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Participez! Comments (2)Evénement, incident, problème : de quoi parle-t-on exactement ?Première juridique dans la lutte anti-botnetStartups sécu : du Cloud chiffré et des utilisateurs sous observationWPS, le fossoyeur de WPA
