Une équipe de chercheurs a tenté de quantifier le problème des faux certificats SSL, utilisés notamment dans le cadre d’attaques de type Man-in-the-Middle (MitM, ou attaque de l’homme du milieu).

La tâche est évidemment complexe car il faut pour cela non seulement avoir accès à une quantité suffisante des connexions HTTPS à travers la planète pour que le résultat soit statistiquement valable, mais il faut surtout être capable de détecter les faux certificats côté client sans pour autant être capable de modifier le navigateur.

Ils y sont parvenu en menant une analyse des connexions SSL destinées à Facebook pendant quatre mois, et les résultats de leur étude sont intéressants.

Près de 0,2% des 3,5 millions de connexions HTTPS qu’ils ont observé utilisent de faux certificats SSL (il s’agit ici bien de véritables connexions initiées par des internautes dans le cadre de leur navigation quotidienne vers Facebook).

Pour parvenir à cette conclusion ils ont développé une applet Java capable, indépendamment du navigateur, d’entamer une négociation SSL et de renvoyer un log de la chaîne de certificats (le contenu brut des messages server-hello et ServerCertificate) vers un serveur sous leur contrôle.

Après étude, la grande majorité de ces faux certificats proviennent des éditeurs d’antivirus (BitDefender en tête, suivi de ESET, Kaspersky et d’autres), dont les produits ont besoin d’analyser le trafic SSL et qui peuvent installer leur propre certificat racine sur le PC afin de ne pas produire d’alerte.

Il y a également dans le lot un fabricant d’appliances SSL (Fortinet), un fournisseur d’accès à Internet (Nordnet), une école américaine et une bibliothèque publique, à priori mettant en oeuvre une solution de filtrage SSL. En bref : les plus gros « sniffers » de connexions SSL sont les produits de sécurité.

Mais les chercheurs ont aussi découvert des usages malveillants, et notamment un malware jusqu’à présent inconnu qui cible le trafic vers Facebook et installe lui aussi son propre certificat racine sur le client pour ne pas générer d’erreur. En outre ils n’excluent pas que se trouvent dans leurs résultats les traces d’attaques menées par des entités inconnues, notamment en ce qui concerne de faux certificats soi-disant délivrés par l’autorité de certification Thawte.

Plus d’information : 
Le rapport de l’étude (PDF, en anglais)