En un an (de mars 2016 à février 2017), l’autorité de certification Let's Encrypt a émis un total de 15 270 certificats SSL contenant le mot « PayPal ». D'après une analyse réalisée par Vincent Lynch, expert en chiffrement travaillant pour le compte de SSL Store, environ 14 766 (96,7 %) ont été utilisés (ou sont utilisés) sur des domaines hébergeant des sites de phishing.Dans un billet de blog, il explique que « l'une des principales craintes exprimées par les critiques de Let's Encrypt, une peur qui a précédé le lancement de l'autorité de certification, était que le service deviendrait l'autorité de certification à la volée pour les campagnes de phishing parce que ses certificats SSL étaient gratuits. Let's Encrypt a également une position non conventionnelle sur le rôle de l'autorité de certification, arguant que ce n'était pas le travail de l'autorité de certification que d’empêcher les sites malveillants d'utiliser ses certificats. Cela signifiait que les responsables de campagnes de phishing ainsi que les distributeurs de logiciels malveillants étaient libres d'utiliser Let's Encrypt sans risque d'être bannis ou de voir leurs certificats révoqués ».
Néanmoins, il a remarqué que « la position de Let's Encrypt est conforme aux normes de l'industrie », bien que « cette politique combinée à l'offre de certificats gratuits crée un environnement très attractif pour les opérations de phishing ».
Les experts en chiffrement et en sécurité avaient déjà prévenu Let’s Encrypt qu’en fournissant des certificats SSL gratuits, les acteurs malveillants se battraient pour obtenir des certificats gratuits et déplacer leurs opérations sur des domaines en HTTPS. Le premier de ces incidents de sécurité a été une campagne de malvertising qui a utilisé les certificats de Let's Encrypt et a été découverte par Trend Micro en janvier 2016. Depuis lors, il y a eu des cas isolés ; aucun abus de masse n’a été signalé, bien que les chercheurs en sécurité ont commencé à repérer de plus en plus de certificats de Let's Encrypt sur des sites malveillants.
« Pendant de nombreuses années, l'industrie de la sécurité dans son ensemble a incorrectement enseigné aux utilisateurs qu’associer HTTPS au cadenas vert est le signe d’un site "sûr". Il s'agit d'une mauvaise généralisation, ce qui peut amener les utilisateurs à croire qu'un site de phishing est réel s'il utilise un certificat SSL », a expliqué l’expert.
« De plus, la nouvelle interface utilisateur de Chrome affiche "Sécurisé" à côté de chaque site disposant d’un certificat SSL valide et une configuration HTTPS. Quelle est la probabilité qu'un utilisateur interprète mal la signification de cela et voie un site d'hameçonnage comme étant légitime ? »
Même si cela n’a été rendu obligatoire par aucune norme, Let's Encrypt a toujours publié des journaux de transparence des certificats. Au début du mois, Lynch a analysé ces journaux et découvert 988 certificats contenant le mot « PayPal » dans les informations de certificat, avec seulement quatre d'entre eux utilisés à des fins légitimes.
Après avoir appris de son analyse précédente, Lynch a affiné ses méthodes et est arrivé à des statistiques encore plus effarantes. En utilisant les données (qui ne sont pas toutes accessibles au public) de la recherche de certificats de Comodo, le chercheur a été en mesure de suivre tous les certificats Let's Encrypt SSL émis pour divers domaines qui comprenaient également le terme « PayPal », cible commune de nombreux sites de phishing, aux côtés de Gmail, Google , Apple, eBay ou Amazon.
Ses résultats révèlent comment les attaquants derrière les campagnes de phishing ont progressivement testé s'ils pouvaient obtenir, déployer et conserver les certificats Let's Encrypt pour des sites Web malveillants.
Autour d'octobre et novembre de l'année dernière, le nombre de certificats SSL émis par Let's Encrypt pour PayPal a augmenté de façon exponentielle. « Il ne semble pas y avoir de cause spécifique de cette augmentation », a noté Lynch. « Il se peut simplement qu'il ait fallu un certain temps pour que la nouvelle se répande au sein des communautés de phishing et pour que l'expertise technique soit développée.»
Alors que Let's Encrypt a publié certains certificats à des fins légitimes, dans la plupart des cas, en regardant le nom d'hôte, le but du site est assez clair et il n’est pas nécessaire d’être un expert en sécurité pour le comprendre.
Bien que l'analyse de Lynch se concentre uniquement sur l'utilisation du mot PayPal dans les certificats gratuits de Let's Encrypt, il existe des milliers d'autres certificats semblables émis pour des termes comme « AppleID », « Gmail » et autres. Dans ces cas-là, le volume de certificats accordés n’est pas le même que celui des certificats PayPal étant donné que les activités consistant à obtenir un accès aux comptes PayPal sont très lucratives et impliquent un accès direct aux fonds.
« En supposant que les tendances actuelles se poursuivent, Let's Encrypt émettra 20 000 certificats “PayPal” supplémentaires d'ici la fin de l'année », a expliqué Lynch.
La bonne nouvelle est que ces sites de phishing ne restent pas longtemps en activité : selon un rapport de CYREN, leur durée de vie est d'environ deux jours en moyenne, période après laquelle ils sont marqués dans un Safe Browsing ou sont retirés par la société d’hébergement elle-même.
Source : blog SSL Store, rapport de CYREN
Voir aussi :
Les certificats SSL/TSL de Let's Encrypt sont supportés par la majorité des navigateurs, l'autorité avance dans son projet de sécuriser le Web 
Envoyé par NSKis
