valerybrozhinsky - stock.adobe.c
Certificats : les pirates aiment Sectigo, selon Chronicle
Mais pas tant que cela tout de même, essaie de faire entendre l’autorité de certification, sans répondre à la question de fond de ses processus de contrôle des demandes de certificats.
Depuis plusieurs mois, des chercheurs en sécurité s’inquiètent de la signature de maliciels par des certificats tout ce qu’il y a de légitimes, émis par Sectigo. C’était le cas de LockerGoga, qui a été signé par au moins deux certificats différents. Et ces deux exemples ne sont pas isolés. Mais le phénomène restait difficile à quantifier.
Les multiples échanges publics sur le sujet, sur Twitter, ont finalement attiré la curiosité des chercheurs de Chronicle, qui se sont penchés sur la formidable base de connaissance que représente VirusTotal. Sur une période d’un an s’écoulant jusqu’au 7 mai dernier, ils ont identifié 3 815 échantillons correspondant à des exécutables Windows PE peu détectés. Le résultat confirme le sentiment des chercheurs : les pirates apprécient Comodo ; 1 775 échantillons profitent de certificats émis par ce dernier. En comptant ceux qui affichent des certificats émis par Sectigo (qui se faisait précédemment appeler Comodo), le total monte à 1957, soit plus de la moitié du lot identifié. En seconde place, Thawte n’est détourné que pour 509 échantillons…
En date du 8 mai, les certificats utilisés par 21 % des échantillons avaient été révoqués, dont 306 émis par Thawte et 293 par Sectigo/Comodo.
Pour les chercheurs de Chronicle, il y a de l’espoir : « les autorités de certification révoquent activement les certificats utilisés par des maliciels identifiés dans la nature ». Dans un billet de blog, Sectigo ne se prive d’ailleurs pas de remercier les chercheurs en indiquant avoir révoqué 127 certificats identifiés par les équipes de Chronicle. Et d’assurer au passage que sur l’ensemble des échantillons observés, 70 avaient expiré et 126 avaient déjà été révoqués ; 25 sont en cours d’examen.
Mais cette réactivité ne répond pas à la question des contrôles préalables à l’émission des certificats. Et celle-là que soulèvent régulièrement les experts depuis plusieurs mois.
Mi-février dernier, Felix Aimé, analyste chez Kaspersky, estimait que MILK Ltd, entreprise à laquelle avait été attribué un certificat utilisé pour signer LockerGoga, avait tout de la coquille vide. Quant à Kitty’s Ltd, également titulaire d’un certificat émis par Sectigo et utilisé pour signer un maliciel, @SwitHak résumait : « il ne faut que trois minutes pour comprendre que Kitty’s Ltd est une entreprise fantôme ». Et de demander à Sectigo : « avez-vous au moins demandé une carte d’identité ou un autre moyen de vérifier leur identité ? ».
Dans leur billet, les équipes de Chronicle évoquent le sujet, mais avec une très grande prudence, se contentant d’estimer qu’un peu plus d’exigences de la part des autorités de certification auprès de leurs clients « pourrait aider ». En février dernier, Tia Smith, de Sectigo, assurait que l’autorité suivait « toutes les recommandations de validation » pour émettre ses certificats, mais qu’elle ne peut pas connaître « les intentions des clients ». Toutefois, force est constater que les registres publics qui laissent les chercheurs suspecter une coquille vide mériteraient peut-être un peu plus d’attention.