Pour la généralisation sur le Web des communications chiffrées entre un serveur et l'appareil d'un utilisateur, le projet Let's Encrypt - qui est entré en bêta publique - propose de fournir gratuitement des certificats SSL / TLS et simplifie l'implémentation.
Trend Micro a détecté que des utilisateurs au Japon ont été la cible d'une campagne de malvertising (publicités malveillantes) où des cybercriminels ont masqué leurs activités nuisibles via un trafic chiffré grâce à un certificat de Let's Encrypt.
Les attaquants ont eu recours à une technique dite de domain shadowing. Ils obtiennent la possibilité de créer des sous-domaines pour un domaine de confiance légitime. Le sous-domaine mène l'utilisateur vers un serveur sous contrôle et hébergé ailleurs. Il est protégé en HTTPS avec un certificat de sécurité de Let's Encrypt utilisé à cet effet.
Trend Micro pointe du doigt le fait que Let's Encrypt ne vérifie les domaines qu'en s'appuyant seulement sur l'API de navigation sécurisée de Google (Safe Browsing) avant d'émettre un certificat, et réprouve sa politique de non-révocation des certificats.
À noter que Trend Micro propose lui-même... une autorité de certification. La mise en cause de la politique de Let's Encrypt n'est peut-être pas anodine.
Publié le
par Jérôme G.
Source :
Trend Micro
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.