Maliciels : certains experts pointent la responsabilité d’autorités de certification
Il n’est pas rare que des maliciels soient signés avec des certificats en apparence parfaitement légitimes, obtenus par les cyber-délinquants en se présentant comme des entreprises. Mais celles-ci apparaissent souvent comme des coquilles vides.
Le groupe norvégien Norsk Hydro, spécialiste de la production et du recyclage d’aluminium, lutte actuellement contre une vaste infection par un ransomware. Pour certains experts, l’incident ravive la question du sérieux des autorités de certification, ou du moins de certaines d’entre elles.
Ces autorités jouent un rôle clé. Elles émettent, moyennant finances, des certificats visant à établir la confiance, en signant par exemple un exécutable. De quoi lui donner toute l’apparence de la légitimité. Et cela même pour un maliciel.
Apparu fin janvier, LockerGoga avait rapidement interpelé Felix Aimé, analyste chez Kaspersky, pour au moins une raison : il était signé avec un certificat accordé à l’entreprise britannique Mikl Ltd, aux allures, selon lui, de coquille vide. Et le cas était loin d’être isolé, avec d’autres entreprises enregistrées au Royaume-Uni comme Kitty’s Ltd ou encore Alisa Ltd, et 8bitindustries Limited.
Aujourd’hui, avec l’attaque sur Norsk Hydro, Kevin Beaumont relance le débat, renvoyant à un récent échange autour d’un échantillon de LockerGoga signé par un certificat accordé à Alisa Ltd – depuis révoqué. Un autre échantillon, plus récent et téléversé de Norvège la nuit dernière est également apparu, également ainsi signé.
Norwegian state media reporting LockerGoga ransomware, which I covered here a few weeks ago with @malwrhunterteam - keeps getting signed with same certificate that CA won't revoke, very little AV detection each time https://t.co/kyLpMVVvnH
— Kevin Beaumont (@GossiTheDog) March 19, 2019
Dans un échange de début mars, Kevin Beaumont indiquait avoir observé des échantillons du maliciel Ursnif eux aussi signés avec des certificats accordés par Sectigo (anciennement Comodo). Pour les chercheurs du groupe MalwareHunterTeam, il faut compter avec des dizaines de certificats ainsi utilisés pour signer des maliciels, observés depuis le début de l’année… et émis par cette même autorité de certification.
And that was only one cert. We seen (if counting both "Sectigo" & "Comodo" names) sure least 2 dozens of totally legit companies getting certs from them to sign malware this year already. And it is probably 1-2-3 (not even want to imagine more) dozens more, only we not see all...
— MalwareHunterTeam (@malwrhunterteam) March 8, 2019
Mi-février, les chercheurs avaient déjà interpelé Sectigo sur ses pratiques de vérification de l’identité de ses clients demandeurs de certificats. L’autorité de certification l’assurait alors : « nous suivons toutes les recommandations de validation pour émettre nos certificats, nous ne connaissons pas les intentions de nos clients ».