lolloj - Fotolia
Let’s Encrypt détourné par des pirates
Des cybercriminels profitent des certificats gratuits proposés par Let’s Encrypt pour distribuer des publicités malicieuses mais d’apparence anodine.
C’est dans un billet de blog que Joseph C Chen, chercheur spécialiste des activités frauduleuses chez Trend Micro, explique que Let’s Encrypt, sans surprise, a déjà commencé à être utilisé à des fins malveillantes.
Pour mémoire le projet Let’s Encrypt vise à promouvoir le chiffrement en aidant à surmonter un premier obstacle : celui de l’obtention d’un certificat. Ce qu’il propose donc gratuitement, avec le soutien d’Akamai, d’OVH, mais aussi de Cisco, de la fondation Mozilla, de l’EFF, ou encore de Google Chrome, Facebook et l’Internet Society, pour permettre à des détenteurs de sites Web d’accéder au chiffrement ou, au moins, de sécuriser des processus d’authentification.
Las, comme le souligne Joseph Chen, « le potentiel de détournement de Let’s Encrypt a toujours été présent. Et pour cela, nous sommes restés attentifs à l’apparition de sites malicieux qui utiliseraient un certificat Let’s Encrypt ». Jusqu’à découvrir, le 21 décembre dernier, « de l’activité vers un serveur de malvertising [publicité malicieuse, NDLR] avec du trafic provenant d’utilisateurs au Japon ». Une campagne qui conduisait à des sites hébergeant le kit d’exploitation Angler pour distribuer un cheval de Troie bancaire en guise de charge utile.
Et d’expliquer l’astuce utilisée par les assaillants : « ils ont utilisé une technique appelée domain shadowing » consistant à créer des sous-domaines d’un domaine légitime et « qui conduisent à un serveur contrôlé par les attaquants ». Les échanges avec ce domaine étaient chiffrés en HTTPS, en s’appuyant sur un certificat Let’s Encrypt.
Pas question, pour Trend Micro, de jeter la pierre à Let’s Encrypt. Mais Joseph Chen estime que les autorités de certifications « devraient être volontaires pour annuler des certificats accordés à des tiers illicites et qui ont été détournés par des acteurs malveillants ». Comme il le relève, les utilisateurs finaux sont en effet susceptibles d’être induits en erreurs par un navigateur leur indiquant à tord qu’ils consultent un site réputé de confiance.
Trend Micro indique avoir contacté Let’s Encrypt pour l’avertir de ce détournement de certificat.