Getty Images
Certificats de signature numérique : quand les attaquants se préparent de longue date
L’autorité de certification connue sous le nom de Comodo jusqu’à l’automne dernier est mise en cause pour ses processus de vérification. L’utilisation de ses certificats par des auteurs de maliciels interpelle les chercheurs. Mais le débat apparaît plus vaste.
Apparu fin janvier, le ransomware LockerGoga a rapidement interpelé Felix Aimé, analyste chez Kaspersky, pour au moins une raison : il était signé par un certificat accordé à une entreprise britannique, MIKL Ltd, aux allures, selon lui, de coquille vide. Un cas isolé ? Pas sûr.
Les chercheurs cachés derrière le pseudonyme @MalwareHunterTeam s’interrogent aussi, interpelant d’ailleurs directement l’autorité de certification à l’origine de ce certificat, Sectigo, connue jusqu’à l’automne dernier sous le nom de Comodo.
La semaine dernière, le groupe relevait ainsi un échantillon de maliciel trouvé sur VirusTotal et signé encore une fois par un certificat accordé par Sectigo… à une entreprise aux allures de coquille vide. Même chose le même jour pour un autre échantillon.
Une semaine plus tôt, le groupe avait déjà interpelé Sectigo pour une entreprise suspecte, Kitty’s Ltd. Pour l’expert @SwitHak, c’était bien simple : « il me faut trois minutes pour comprendre que Kitty’s Ltd est une entreprise fantôme ». Et de lancer à l’intention de Sectigo : « Avez-vous au moins demandé une carte d’identité ou un autre moyen de vérifier leur identité ? » Un peu avant cela, Tia Smith, de Sectigo, avait pris son clavier pour l’assurer : « nous suivons toutes les recommandations de validation pour émettre nos certificats, nous ne connaissons pas les intentions des clients ». Mais le fait est qu’une rapide recherche montre que VirusTotal ne manque pas d’échantillons de maliciels signés à l’aide de certificats émis par Sectigo.
Sur Twitter, l’autorité de certification défend ses processus et souligne avoir révoqué les certificats identifiés par les chercheurs, tout en les encourageant à rapporter d’éventuels nouveau abus directement par e-mail. Mais d’aucun pourraient souhaiter un effort de veille et de gestion du renseignement sur les menaces plus proactif de la part de l’autorité.
Car la révocation des certificats fonctionne notamment sur la base de… listes. Comme pour les mécanismes de protection contre les sites Web frauduleux ou encore les antivirus traditionnels. Et cela renvoie à la question des délais de propagation. Mais il n’y a pas que cela. Il faut aussi compter avec le protocole de vérification en ligne de l’état de certificat (OCSP), qui n’est pas plus parfait, comme le relevait Scott Helme en 2017. Car là encore, le temps joue un rôle clé.
2/2 No CA can discern intent before a certificate is used. CAs can revoke based on malicious activity, which can be retroactive to disable malware signed earlier. We've revoked the certificates discussed here. In the future you can report abuse to [email protected]
— Sectigo (@SectigoHQ) February 15, 2019
Accessoirement, ce débat met en évidence : le travail de préparation dans la durée de certains attaquants. Les entreprises écran enregistrées pour obtenir de vrais faux certificats numériques ne sont pas forcément créées d’hier. Certaines ont été enregistrées de nombreux mois avant que ne soit émise la demande de certificat auprès d’une autorité de certification pour se donner toute l’apparence possible de la légitimité. Dans le cas des échantillons de Lockergoga découverts fin janvier, la création de l’entreprise suspecte remonte à décembre 2014. S’il le fallait, cela démontre à tout le moins un certain professionnalisme.