Les certificats gratuits pour le HTTPS de Let\'s Encrypt abusés par des pirates

Crypter tout le trafic web a toujours été considéré comme un objectif clé pour la sécurité internet, mais il y avait deux principaux obstacles à cela.

Les certificats gratuits HTTPS de Let\'s Encrypt

site web en HTTPS.

Deuxièmement, les certificats SSL eux-mêmes ne sont pas toujours faciles à mettre en place par le premier webmaster venu.

L’organisation Let’s Encrypt, soutenue par des géants du Net tels que Akamai, Cisco, the Electronic Frontier Foundation (EFF), et Mozilla, a été créée avec pour objectif d’éliminer les deux obstacles cités plus haut.

Le but de ce projet sera donc de fournir des certificats SSL gratuits à tous les propriétaires de sites web qui en feront la demande.


Toutefois, le risque potentiel pour Let’s Encrypt d’être abusé par des pirates a toujours existé.

Il y a donc à peine un mois, Let’s Encrypt a ouvert son programme bêta pour offrir des certificats gratuits au public. Seulement voilà.

C’est l’entreprise de sécurité informatique Trend Micro qui a tiré la sonnette d’alarme pour alerter les utilisateurs japonais qui naviguaient sur des sites en HTTPS via Let’s Encrypt et prévenir qu’ils transitaient en fait sur des serveurs malveillants.

Ces serveurs hébergeaient un système piraté dénommé Angler Exploit Kit

Trend Micro affirme que le pirates utilisent une technique appelée “domain shadowing” ( invisible) à partir de laquelle ils réussissent à accéder à un nom de domaine de confiance (par exemple, le site web principal d’une banque) pour rediriger les utilisateurs infectés vers un serveur qu’ils contrôlent et hébergent ailleurs.

Et ce, tout en dissimulant leur activité en utilisant un sous-domaine protégé par un certificat de sécurité de Let’s Encrypt.

L’organisation Let’s Encrypt affirme de son côté que cela est possible parce que Let’s Encrypt vérifie uniquement les noms de domaine par le biais de “Google safe browsing API” avant de délivrer des certificats HTTPS.

Safe Browsing (ou \ »Safe Browsing\ ») est un service fourni gratuitement par Google pour sécuriser la navigation. Il est inclus, nativement, dans plusieurs navigateurs et permet, via plusieurs filtres, de rechercher en permanence la présence du nom de domaine (site Internet) de chaque lien (URL) sur lequel vous cliquez (lien dans les pages Web visitées, liens des résultats de recherches avec un moteur de recherche, etc. …) dans deux listes noires.

Cette précaution préalable de Let’s Encrypt via Google Safe Browsing n’empêche pas que des pirates obtiennent un certificat et créent des sous-domaines avec des malwares sous l’apparence d’un site légitime.

Selon le rapport de Trend Micro, l\’incident met en évidence les problèmes potentiels avec le service gratuit de Let\’s Encrypt et demande instamment à l\’organisation d\’être disposée à annuler immédiatement les certificats qui auraient été utilisées à mauvais escient.

Affaire à suivre…

Auteur : Noel NGUESSAN

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe depuis 2007 et a aujourd'hui plus de 6.800 articles. Pour ma part, j'ai intégré le monde de l'internet en 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000, avant de basculer naturellement vers le SEO en tant que Consultant.