Du malvertising avec un certificat gratuit de Let's Encrypt

Le par  |  3 commentaire(s) Source : Trend Micro
SSL

Trend Micro a mis au jour une campagne de malvertising s'appuyant sur un certificat de sécurité gratuit émis par Let's Encrypt.

Let's-EncryptPour la généralisation sur le Web des communications chiffrées entre un serveur et l'appareil d'un utilisateur, le projet Let's Encrypt - qui est entré en bêta publique - propose de fournir gratuitement des certificats SSL / TLS et simplifie l'implémentation.

Trend Micro a détecté que des utilisateurs au Japon ont été la cible d'une campagne de malvertising (publicités malveillantes) où des cybercriminels ont masqué leurs activités nuisibles via un trafic chiffré grâce à un certificat de Let's Encrypt.

Les attaquants ont eu recours à une technique dite de domain shadowing. Ils obtiennent la possibilité de créer des sous-domaines pour un domaine de confiance légitime. Le sous-domaine mène l'utilisateur vers un serveur sous contrôle et hébergé ailleurs. Il est protégé en HTTPS avec un certificat de sécurité de Let's Encrypt utilisé à cet effet.

Trend Micro pointe du doigt le fait que Let's Encrypt ne vérifie les domaines qu'en s'appuyant seulement sur l'API de navigation sécurisée de Google (Safe Browsing) avant d'émettre un certificat, et réprouve sa politique de non-révocation des certificats.

À noter que Trend Micro propose lui-même... une autorité de certification. La mise en cause de la politique de Let's Encrypt n'est peut-être pas anodine.

Complément d'information
  • FREAK : faille révoltante dans SSL/TLS
    Baptisée FREAK, une vulnérabilité dans le chiffrement fait que des sites sécurisés ne le sont en fait pas. Le souci survient avec une consultation depuis le navigateur Safari pour OS X et iOS, et l'ancien navigateur d'Android. Un ...
  • Alerte Linux : faille critique dans une implémentation de SSL et TLS
    Une importante vulnérabilité a été découverte dans la bibliothèque GnuTLS utilisée dans des distributions Linux. GnuTLS est une implémentation libre des protocoles de sécurisation SSL et TLS.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1874423

qui est entré en bêta publique



Tout est dis ...
Le #1874451
FRANCKYIV a écrit :


qui est entré en bêta publique



Tout est dis ...


Je pense plutôt que tout est dit ici: "À noter que Trend Micro propose lui-même... une autorité de certification. La mise en cause de la politique de Let's Encrypt n'est peut-être pas anodine"

Bon sinon, de toute façon le concept du HTTPS c'est de garantir la confidentialité des données échangées entre https://example.com et le navigateur du visiteur. Ca ne garantit pas que https://example.com n'est pas un nid de virus....
Le #1874693
D'accord avec toi mais ici le souci c'est que Let's Encrypt a delivré un certificat pour un sous-domaine d'un site viable.
En (trés) gros c'est comme si tu demandait un certificat pour ad.amazon.com et qu'ils te le délivrent...
Bref... Erreur de Let's Encrypt. Il n'en faut pas plus a son concurrent payant pour se jeter dessus

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]