La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 30 mars 2017 à 08:49:37
-
Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an
OK Let's Encrypt vérifie que le nom de domaine pointe bien vers le serveur, mais un peu plus d'action contre le phishing serait bien...
En un an (de mars 2016 à février 2017), l’autorité de certification Let's Encrypt a émis un total de 15 270 certificats SSL contenant le mot « PayPal ». D'après une analyse réalisée par Vincent Lynch, expert en chiffrement travaillant pour le compte de SSL Store, environ 14 766 (96,7 %) ont été utilisés (ou sont utilisés) sur des domaines hébergeant des sites de phishing.
Dans un billet de blog, il explique que « l'une des principales craintes exprimées par les critiques de Let's Encrypt, une peur qui a précédé le lancement de l'autorité de certification, était que le service deviendrait l'autorité de certification à la volée pour les campagnes de phishing parce que ses certificats SSL étaient gratuits. Let's Encrypt a également une position non conventionnelle sur le rôle de l'autorité de certification, arguant que ce n'était pas le travail de l'autorité de certification que d’empêcher les sites malveillants d'utiliser ses certificats. Cela signifiait que les responsables de campagnes de phishing ainsi que les distributeurs de logiciels malveillants étaient libres d'utiliser Let's Encrypt sans risque d'être bannis ou de voir leurs certificats révoqués ».
Néanmoins, il a remarqué que « la position de Let's Encrypt est conforme aux normes de l'industrie », bien que « cette politique combinée à l'offre de certificats gratuits crée un environnement très attractif pour les opérations de phishing ».
Les experts en chiffrement et en sécurité avaient déjà prévenu Let’s Encrypt qu’en fournissant des certificats SSL gratuits, les acteurs malveillants se battraient pour obtenir des certificats gratuits et déplacer leurs opérations sur des domaines en HTTPS. Le premier de ces incidents de sécurité a été une campagne de malvertising qui a utilisé les certificats de Let's Encrypt et a été découverte par Trend Micro en janvier 2016. Depuis lors, il y a eu des cas isolés ; aucun abus de masse n’a été signalé, bien que les chercheurs en sécurité ont commencé à repérer de plus en plus de certificats de Let's Encrypt sur des sites malveillants.
« Pendant de nombreuses années, l'industrie de la sécurité dans son ensemble a incorrectement enseigné aux utilisateurs qu’associer HTTPS au cadenas vert est le signe d’un site "sûr". Il s'agit d'une mauvaise généralisation, ce qui peut amener les utilisateurs à croire qu'un site de phishing est réel s'il utilise un certificat SSL », a expliqué l’expert.
« De plus, la nouvelle interface utilisateur de Chrome affiche "Sécurisé" à côté de chaque site disposant d’un certificat SSL valide et une configuration HTTPS. Quelle est la probabilité qu'un utilisateur interprète mal la signification de cela et voie un site d'hameçonnage comme étant légitime ? »
Même si cela n’a été rendu obligatoire par aucune norme, Let's Encrypt a toujours publié des journaux de transparence des certificats. Au début du mois, Lynch a analysé ces journaux et découvert 988 certificats contenant le mot « PayPal » dans les informations de certificat, avec seulement quatre d'entre eux utilisés à des fins légitimes.
Après avoir appris de son analyse précédente, Lynch a affiné ses méthodes et est arrivé à des statistiques encore plus effarantes. En utilisant les données (qui ne sont pas toutes accessibles au public) de la recherche de certificats de Comodo, le chercheur a été en mesure de suivre tous les certificats Let's Encrypt SSL émis pour divers domaines qui comprenaient également le terme « PayPal », cible commune de nombreux sites de phishing, aux côtés de Gmail, Google , Apple, eBay ou Amazon.
Ses résultats révèlent comment les attaquants derrière les campagnes de phishing ont progressivement testé s'ils pouvaient obtenir, déployer et conserver les certificats Let's Encrypt pour des sites Web malveillants.
Autour d'octobre et novembre de l'année dernière, le nombre de certificats SSL émis par Let's Encrypt pour PayPal a augmenté de façon exponentielle. « Il ne semble pas y avoir de cause spécifique de cette augmentation », a noté Lynch. « Il se peut simplement qu'il ait fallu un certain temps pour que la nouvelle se répande au sein des communautés de phishing et pour que l'expertise technique soit développée.»
Alors que Let's Encrypt a publié certains certificats à des fins légitimes, dans la plupart des cas, en regardant le nom d'hôte, le but du site est assez clair et il n’est pas nécessaire d’être un expert en sécurité pour le comprendre.
Bien que l'analyse de Lynch se concentre uniquement sur l'utilisation du mot PayPal dans les certificats gratuits de Let's Encrypt, il existe des milliers d'autres certificats semblables émis pour des termes comme « AppleID », « Gmail » et autres. Dans ces cas-là, le volume de certificats accordés n’est pas le même que celui des certificats PayPal étant donné que les activités consistant à obtenir un accès aux comptes PayPal sont très lucratives et impliquent un accès direct aux fonds.
« En supposant que les tendances actuelles se poursuivent, Let's Encrypt èmettra 20 000 certificats “PayPal” supplèmentaires d'ici la fin de l'année », a expliqué Lynch.
La bonne nouvelle est que ces sites de phishing ne restent pas longtemps en activité : selon un rapport de CYREN, leur durée de vie est d'environ deux jours en moyenne, période après laquelle ils sont marqués dans un Safe Browsing ou sont retirés par la société d’hébergement elle-même.
Source : Developpez.com (https://www.developpez.com/actu/126791/Plus-de-14-000-certificats-SSL-contenant-le-mot-PayPal-ont-ete-delivres-par-Let-s-Encrypt-a-des-sites-de-phishing-en-l-espace-d-un-an/), blog SSL Store, rapport de CYREN
-
Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an
L'utilisation de paypal ou autre nom de marque dans un domaine n'est pas forcèment une usurpation. Un fournisseur de certificats n'est pas la police du net, ni l'institut de la propriété intellectuelle, ni le tribunal du "fair use" : on peut avoir un blog jaime-pas-paypal.blablatage ou paypal.forum-divers.discussion... ou même paypal-vole-les-honnetes-gens. Les enregistreurs DNS et les autorités de certificat ne sont pas non plus les modérateurs des noms de domaines "abusifs".
En tout état de cause, l'autorité de certification arrive après l'enregistrement du domaine; est-ce son rôle de re-vérifier que le nom de domaine respecte les règles, alors que l'enregistreur est censé avoir vérifié en amont, alors que le registre lui aussi doit avoir vérifié tout?
Et dans le cas "paypal.forum-divers.discussion" le nom "paypal" n'a pas de raison de faire parti du certificat TLS, donc l'autorité de certification ne verra rien, pas plus que le registre DNS; c'est le principe même du DNS (qui est une arborescence de noms superposable à une arborescence de serveurs avant d'être un protocole utilisant le port 53) qui permet ça.
Donc on ne peut pas espérer détecter tous les cas d'usurpation utilisant le nom paypal au niveau des CA. (Cela ne veut pas dire évidemment qu'ils doivent forcèment laisser passer les cas patents de fraude.)
Toute la conception de l'Internet repose sur des délégations de responsabilités et l'absence de "viseur" en chef ou "d'index" de la "Sainte inquisition". (Bien sûr les politichiens dont la structure mentale date de cette période regrettent cela.)
De plus, la barre d'adresse occupe une toute petite partie de la surface de l'écran : même si l'URL n'a aucun rapport avec la bonne adresse, il y a beaucoup d'utilisateurs qui font plus attention au reste de l'écran. C'est juste un fonctionnement psychologique habituel chez beaucoup de gens.
De toute façon le Système éducatif est en cause. Comme je le dis toujours, les médiocres ont pris des places trop élevées, l'école est en grande partie une perte de temps, etc. On transforme des médiocres en super-crétins diplômés qui se savent pas poser un problème et multiplient les outils de sécurité au lieu de réfléchir à la sécurité.
Pour moi le fait de savoir si on est sur le site habituel se résout par l'enregistrement du mot de passe dans le navigateur.
Mais le fait de savoir si on est sur un site appartenant à l'institution est moins évident, parce que certains demandent les mêmes identifiants sur plusieurs domaines qui ne sont pas liés au niveau du DNS. C'est là qu'il faut utiliser les certificats "EV" : la validation étendue compense le fait d'utiliser plusieurs domaines disjoints.
Pour Google, le fait de centraliser l'enregistrement d'un nom d'utilisateur sur un seul domaine permet de ne pas avoir besoin de certificat EV, puisque le nom "google.com" est une marque plus connue que "Google Inc in Mountain View, CA". Tout le monde sait que google.com est correct.
-
A mon avis, les autres autorités doivent simplement faire une vérification anti-phishing avant de signer un certificat, ce que ne fais pas Let's Encrypt...
-
Oui mais comment cette vérification fonctionne-t-elle?
Est-ce qu'ils vont voir le site? Lequel? Celui en HTTP? en HTTPS, qui n'a pas de certificat?
Est-ce qu'ils demandent à un opérateur de contrôler individuellement les cas "douteux"?
-
Et surtout, comment différencier un cas de phishing à partir d'un nom de domaine ? Lors de la demande du certificat, le site peut ne pas être actif, ou changer à tout moment sans aucun changement au niveau du certificat !
-
Dans un billet de blog, il explique que « l'une des principales craintes exprimées par les critiques de Let's Encrypt, une peur qui a précédé le lancement de l'autorité de certification, était que le service deviendrait l'autorité de certification à la volée pour les campagnes de phishing parce que ses certificats SSL étaient gratuits.
Cet argument est très vieux et est utilisé contre toute généralisation du HTTPS : les sites pas sérieux pourraient l'utiliser (les sites pas institutionnels) et ces sites pourraient héberger des arnaques diverses.
Let's Encrypt a également une position non conventionnelle sur le rôle de l'autorité de certification, arguant que ce n'était pas le travail de l'autorité de certification que d’empêcher les sites malveillants d'utiliser ses certificats. Cela signifiait que les responsables de campagnes de phishing ainsi que les distributeurs de logiciels malveillants étaient libres d'utiliser Let's Encrypt sans risque d'être bannis ou de voir leurs certificats révoqués ».
Si un enregistrement de nom de domaine a pour seul objet de servir de support à une arnaque, je pense que n'importe quel enregistreur du domaine peut le suspendre quand on le lui signale!!!
Néanmoins, il a remarqué que « la position de Let's Encrypt est conforme aux normes de l'industrie », bien que « cette politique combinée à l'offre de certificats gratuits crée un environnement très attractif pour les opérations de phishing ».
Le fait de permettre d'enregistrer facilement un nom de domaine, parfois même gratuitement pour quelques jours est une politique de VeriSign (domaine com.) qui « crée un environnement très attractif pour les opérations de phishing ».
« Pendant de nombreuses années, l'industrie de la sécurité dans son ensemble a incorrectement enseigné aux utilisateurs qu’associer HTTPS au cadenas vert est le signe d’un site "sûr". Il s'agit d'une mauvaise généralisation, ce qui peut amener les utilisateurs à croire qu'un site de phishing est réel s'il utilise un certificat SSL », a expliqué l’expert.
Mais qui précisèment a fait croire ça?!!
-
Je pense qu'une autorité de certification n'a pas à juger de si le site est 'phishing' ou pas.
Par contre afficher 'Secure' des qu'une connexion est HTTPS, c'est moyen. Et habituer les utilisateurs à ce 'test' là était une connerie.
-
Un nom de domaine n'est généralement pas gratuit non plus donc la gratuité de letsencrypt n'est pas en cause.
Faut juste éduquer les gens sur 'la sécurité' (la clé verte ou 'Secure' affichée) apporter par un site en https avec vérification 'domaine'(DV) et un autre avec vérification étendue (EV).
un DV, ce ne garantie pas la 'qualité du site ou son auteur' mais juste que celui qui contrôle le domaine contrôle le site et que les flux entre l'utilisateur et le site sont chiffrés donc (en théorie) pas espionnables ni modifiables.
Si l'utilisateur se fait piéger par wwwlafibre.info la faute a qui ? a lui :P
De toute façon la tendance c'est qu'on va transférer ce "contrôle" sur les domaines: la BNP a commencé par exemple en se payant son propre gTLD: .bnpparibas donc pas de phishing possible qui termine par .bnpparibas. Certains nouveaux gTLD ne donnerons des sous-domaines qu’après moultes verifications et gros paiement.
L'histoire a du bon, ca fera bouger les choses plus vite.
-
De toute façon la tendance c'est qu'on va transférer ce "contrôle" sur les domaines: la BNP a commencé par exemple en se payant son propre gTLD: .bnpparibas donc pas de phishing possible qui termine par .bnpparibas. Certains nouveaux gTLD ne donnerons des sous-domaines qu’après moultes verifications et gros paiement.
À quand lafibre.?
Ou bien la.fibre.?
-
ca coute un bras et c'est long a obtenir. ;D
-
Oui mais c'est COOL.
-
Oui mais comment cette vérification fonctionne-t-elle?
Google propose ce service me semble-t-il, c'est intégré dans les navigateurs. Couplé sûrement à 2-3 autres fournisseurs de solutions dans ce genre, et tu as une bonne idée pour savoir si phishing ou pas.
Après, c'était juste une supposition que je faisais, personne n'a d'infos là dessus?
-
Oui mais c'est COOL.
d'ailleurs .cool existe: https://www.iana.org/domains/root/db/cool.html
la liste complete des gTLD (1561 a cette heure): https://www.iana.org/domains/root/db
et Google en a 43 la dedans , ceux au nom de 'Charleston Road Registry Inc'
un gTLD coute $185 000 + $20 000/an
ca fait une facture de $8 millions pour Google et $860 000/an de frais ;D une broutille pour eux
et Amazon en a 51 ...
-
.viva
generic
Saudi Telecom Company
.vivo
generic
Telefonica Brasil S.A.
.vlaanderen
generic
DNS.be vzw
et .vivien?
-
Google propose ce service me semble-t-il, c'est intégré dans les navigateurs.
Dans Thunderbird tu as la possibilité de signaler un courriel comme tromperie. Tu es alors redirigé vers Google, tu confirmes que tu es un "humain" (*), et voilà, ça alimente la base de données.
(*) donc un chien ne peut pas faire de signalement, c'est discriminatoire
-
d'ailleurs .cool existe: https://www.iana.org/domains/root/db/cool.html
la liste complete des gTLD (1561 a cette heure): https://www.iana.org/domains/root/db
(...)
un gTLD coute $185 000 + $20 000/an
Un joli business à vendre du lopin virtuel.
Si tu ne peux pas localiser un filon d'or, invente-le!
-
En y regardant de plus près, Let's Encrypt implèmente bien une vérification sur Google Safe Browsing, pour éviter les phishing. A voir s'ils utilisent les résultats correctement ensuite...
https://github.com/letsencrypt/boulder/blob/master/va/gsb.go
-
Quel intérêt?
-
Bah ne pas délivrer un certificat pour un site douteux, non ?
https://developers.google.com/safe-browsing/
https://www.google.com/transparencyreport/safebrowsing/
-
Ce n'est pas le seul client compatible LE donc l'intérêt est nul.
-
Ce n'est pas le seul client compatible LE donc l'intérêt est nul.
:o Boulder est le serveur Let's Encrypt, ce n'est pas à faire côté client ça bien évidemment.
-
A mon avis, les autres autorités doivent simplement faire une vérification anti-phishing avant de signer un certificat, ce que ne fais pas Let's Encrypt...
Ton avis est injustifié : ce n'est pas le cas, ils ne font rien de plus que let's encrypt (ha si, ils te facturent .. ::) )
« De plus, la nouvelle interface utilisateur de Chrome affiche "Sécurisé" à côté de chaque site disposant d’un certificat SSL valide et une configuration HTTPS. Quelle est la probabilité qu'un utilisateur interprète mal la signification de cela et voie un site d'hameçonnage comme étant légitime ? »
Je trouve que c'est très clair, pourtant : "suis-je bien sur <FQDN> ? Oui, je suis bien sur <FQDN>, et pas chez le voisin". Le machin vert "secure" ne dit que cela, rien de plus, rien de moins.
Après, le soucis est que les gens vont chez le voisin en pensant rentrer chez eux ..
-
Le problème est aussi que pendant longtemps, on a éduqué les gens en leur disant Si y'a le cadenas vert, c'est bon !.
Clairement, l'effort d'éducation sur le phishing n'a pas encore été fait...
Personnellement, je ne pense pas que ce soit aux CA à faire le tri en profondeur : utiliser les API SafeBrowsing/SmartScreen pour éviter de délivrer des certificats à des domaines qui, de toute façon, seront blacklistés par les navigateurs me semble largement suffisant.
-
Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing, en l'espace d'un an
Plus de 14 000 nom de domaines contenant le mot "PayPal" ont été enregistrés par des enregistreurs (registrars) et acceptés par des registres (registers) à des sites de phishing, en l'espace de ?
(corrigé)
-
Bah non, je peux très bien acheter "youaredumb.com" et demander un certificat pour "paypal.youaredumb.com" et dans ce cas le registrar n'y verra rien... Après si l'utilisateur confond avec "paypal.com" alors il est idiot et ce n'est pas la faute de let's encrypt...
-
Bah non, je peux très bien acheter "youaredumb.com" et demander un certificat pour "paypal.youaredumb.com" et dans ce cas le registrar n'y verra rien...
Soit, mais j'aimerais avoir le détail : combien de paypal-russian-mafia-official-website.com et combien de paypal.russian-mafia-official-website.com?