Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesDemandez aux ExpertsLe coin des RSSIQualys Community

Main Content

Left content

En bref

0,2% des certificats SSL utilisés pour se connecter à Facebook seraient des faux

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Une équipe de chercheurs a tenté de quantifier le problème des faux certificats SSL, utilisés notamment dans le cadre d’attaques de type Man-in-the-Middle (MitM, ou attaque de l’homme du milieu).

La tâche est évidemment complexe car il faut pour cela non seulement avoir accès à une quantité suffisante des connexions HTTPS à travers la planète pour que le résultat soit statistiquement valable, mais il faut surtout être capable de détecter les faux certificats côté client sans pour autant être capable de modifier le navigateur.

Ils y sont parvenu en menant une analyse des connexions SSL destinées à Facebook pendant quatre mois, et les résultats de leur étude sont intéressants.

Près de 0,2% des 3,5 millions de connexions HTTPS qu’ils ont observé utilisent de faux certificats SSL (il s’agit ici bien de véritables connexions initiées par des internautes dans le cadre de leur navigation quotidienne vers Facebook).

Pour parvenir à cette conclusion ils ont développé une applet Java capable, indépendamment du navigateur, d’entamer une négociation SSL et de renvoyer un log de la chaîne de certificats (le contenu brut des messages server-hello et ServerCertificate) vers un serveur sous leur contrôle.

Après étude, la grande majorité de ces faux certificats proviennent des éditeurs d’antivirus (BitDefender en tête, suivi de ESET, Kaspersky et d’autres), dont les produits ont besoin d’analyser le trafic SSL et qui peuvent installer leur propre certificat racine sur le PC afin de ne pas produire d’alerte.

Il y a également dans le lot un fabricant d’appliances SSL (Fortinet), un fournisseur d’accès à Internet (Nordnet), une école américaine et une bibliothèque publique, à priori mettant en oeuvre une solution de filtrage SSL. En bref : les plus gros « sniffers » de connexions SSL sont les produits de sécurité.

Mais les chercheurs ont aussi découvert des usages malveillants, et notamment un malware jusqu’à présent inconnu qui cible le trafic vers Facebook et installe lui aussi son propre certificat racine sur le client pour ne pas générer d’erreur. En outre ils n’excluent pas que se trouvent dans leurs résultats les traces d’attaques menées par des entités inconnues, notamment en ce qui concerne de faux certificats soi-disant délivrés par l’autorité de certification Thawte.

Plus d’information : 
Le rapport de l’étude (PDF, en anglais)

 

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

1 Star2 Stars3 Stars4 Stars5 Stars
3 avis - 3,00 / 5

Participez ou lancez la discussion!

Right content

En bref

Newsletter gratuite

Suivez-nous…

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.


Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.


BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.


Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web