Posté le octobre 14, 2019 à 15:28
LES CERTIFICATS SSL SONT GÉNÉRALEMENT INCORRECTEMENT DÉLIVRÉS EN RAISON DE FACTEURS HUMAINS ET DE BOGUES LOGICIELS
Les certificats SSL font de plus en plus partie de la vie quotidienne. Alors que de nombreuses entreprises et utilisateurs privés souhaitent de plus en plus d’intimité, ils se tournent vers le protocole SSL dans cette nouvelle ère de technologie. Pourtant, le nombre de certificats SSL délivrés de manière non conforme est ahurissant. De plus, 42 % de ces incidents sont directement liés à des failles logicielles et à des facteurs humains au sein des organismes qui émettent les certificats SSL.
C’est ce qu’a démontré une équipe de recherche de la School of Informatics and Computing de l’Université de l’Indiana à Bloomington. Cette étude a porté sur 379 cas de certificats SSL mal émis, sur un total de 1300 événements connus. Pour ceux qui sont intéressés, les détails de l’enquête sont présentés ici.
Le but de cette recherche était d’enquêter auprès des autorités de certification (AC) pour voir si elles respectaient ou non les normes de leur industrie. En plus de cela, il était prévu de découvrir quelle était la raison la plus courante derrière des certificats SSL délivrés de manière incorrecte.
Les organisations qui fournissent des certificats SSL, gratuits ou payants, sont des AC. Ces certificats SSL permettent aux utilisateurs d’encrypter les communications entre les clients et les serveurs via une connexion HTTPS. Le forum CA/B réglemente l’activité des AC. La communauté d’utilisateurs de ce forum est composée de créateurs de systèmes d’exploitation et de navigateurs qui travaillent en collaboration avec les AC.
Au fil des années, les AC ont commis de nombreuses erreurs. Généralement, ces erreurs supposent que l’AC elle-même ne suit pas ses propres règles, ce qui entraîne des erreurs dans l’émission des certificats SSL. Parmi ces nombreux certificats SSL délivrés de manière non conforme, certains ont été utilisés dans des attaques de l’homme du milieu ou MitMs, qui interceptent les signaux HHTPS et un « intermédiaire » dans l’échange de données, permettant aux hackers de voler les informations privées que vous envoyez sur le site.
Cela était principalement possible du fait que les autorités de certification émettent des certificats sans suivre la procédure prévue: qu’il s’agisse d’une erreur humaine, d’un accident ou d’une tentative de réduction les coûts pour augmenter les profits. Quoi qu’il en soit, il y a un important facteur humain.
Les AC ont également été prises en flagrant délit de désactualisation des certificats SSL dans le but d’éviter les délais d’obsolescence. Des choses comme l’émission de certificats SSL sans vérification adéquate de la légitimité de l’acheteur, ou l’émission de certificats qui utilisent des algorithmes faibles ou non conformes.
Les erreurs
L’équipe de l’Université de l’Indiana, à Bloomington, a découvert que la raison la plus courante de l’absence de signatures SSL n’était rien d’autre qu’une bogue logiciel au sein du système de l’AC. Parmi les 379 cas, 24 % (91 cas) étaient reliés à des logiciels inappropriés.
La deuxième place a été accordée aux AC qui interprètent mal les règlements du CA/B, ou que les AC ignoraient totalement que les règles avaient changé récemment. Il représentait 18 % (69 cas) des erreurs de livraison de SSL.
La troisième place et le premier raisonnement malveillant était dû au fait que les AC ont fait passer le profit avant la conformité. Ces groupes se composent de 14% (52 cas) des erreurs. Ces incidents comprennent la vente directe de certificats pour les attaques de l’homme du milieu, la délivrance de certificats malhonnêtes ou l’antidatage des certificats SHA-1 pour échapper à l’interdiction. Certains groupes facturent même des frais pour annuler les certificats SSL compromis.
La quatrième place a été attribuée à la vieille erreur humaine. Même 10 % (37 cas) ont été classés dans cette catégorie.
La cinquième place a été attribuée aux erreurs dites opérationnelles. Une façon élégante de dire que les procédures internes de l’AC avaient une faute, au lieu d’une erreur logicielle ou humaine. Cela représentait 8% (29 cas).
La sixième a été attribuée à quelque chose appelé vérification de demande non optimale. Cela signifie que les AC n’ont pas enquêté correctement sur les personnes qui demandent un certificat SSL, ce qui permet à un acteur malveillant de se faire passer pour une entité tout aussi légitime.
Le dernier facteur important a été qualifié de contrôles de sécurité inappropriés. Il ne s’agit là que d’un terme fourre-tout pour désigner les cas où diverses AC ont été piratées ou ont autrement perdu le contrôle de leur infrastructure. Dans une certaine mesure, ceci a permis aux acteurs malveillants d’émettre leurs propres certificats SSL. Sur les 379 cas, 4% (15) étaient causés par cela.
D’autres facteurs, beaucoup moins pertinents, modifient les exigences de base, alors que les AC ont tardé à modifier leurs règles. Par ailleurs, des problèmes d’infrastructure générale dus à des serveurs indisponibles, des problèmes matériels, etc. D’autres étaient causées par des contraintes organisationnelles dues à leur pays.
Les AC responsables:
Les AC les plus problématiques semblaient être des sociétés comme StartCom, Digicert, WoSign, Comodo (alias Sectigo), VISA, Quo Vadis, GoDaddy, Camerfirma, Certum, et SwissSign.
Il est intéressant de noter que les 10 AC les plus problématiques ont réussi à accumuler plus de la moitié des problèmes présentés dans l’étude. Cela suggère qu’il s’agisse peut-être simplement de pommes pourries. Les chercheurs eux-mêmes suggèrent que ces entités soient pénalisées pour les dissuader de le refaire.
