IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La plupart des certificats de signature de code utilisés par des malwares n'auraient pas été dérobés à des entreprises
Mais simplement vendus

Le , par Stéphane le calme

243PARTAGES

9  0 
Un certificat de signature de code est un certificat numérique contenant certaines informations permettant d'identifier une personne ou une organisation, et qui a été émis par une Autorité de Certification. Celui-ci permet aux développeurs d'inclure dans leurs applications ou leurs programmes des informations sur eux-mêmes, ainsi que de créer une signature numérique (signer du code).

Les certificats de signatures de code permettent aux développeurs de signer numériquement un nombre illimité d’applications qu’ils vont ensuite distribuer sur Internet, ainsi que d’y apposer un sceau d’horodatage afin d’empêcher l’expiration de la signature.

Ainsi, un développeur qui signe le code de son programme instaure la confiance avec l’utilisateur final, en garantissant que le programme est légitime, conforme au développement initial, et que le code n’a subi aucune altération entre sa création et sa publication.

En somme, les certificats de signature du code sont conçus pour donner un certain niveau d’assurance quant à l’authenticité des applications, aussi bien sur desktop que sur mobile.

Il faut également noter que les applications signées par code sont plus difficiles à détecter par les dispositifs de sécurité réseau. Ce qui peut expliquer la raison pour laquelle, pour contourner les détections des solutions antivirus, il arrive de voir des opérateurs derrière des attaques s’appuyer sur des certificats signés qui ont été délivrés par des entreprises connues et bien établies.

Cependant, une recherche vient remettre en cause l’hypothèse voulant que, pour mettre la main sur ces certificats, les pirates aient dû les dérober en pénétrant les réseaux d’entreprises légitimes, de leurs partenaires ou des autorités de certification elles-mêmes.

En effet, selon Andrei Barysevich, directeur de la branche Advanced Collection pour le compte de Recorded Future, la grande majorité des certificats obtenus illicitement sont disponibles pour les cybercriminels en raison de la fraude et non du piratage dans le réseau d'une autorité de certification.

« Il a été généralement supposé que les certificats de sécurité circulant dans les réseaux criminels ont été volés à des propriétaires légitimes avant d'être utilisés dans des campagnes infâmes », a rappelé déclaré Barysevich.

« Cependant, notre analyse la plus récente indique que ce n'est pas le cas, nous avons confirmé – avec une grande certitude – que les certificats de contrefaçon sont créés pour des acheteurs spécifiques, par demande seulement et enregistrés avec des identités corporatives volées. »

Commander un certificat signé ? Oui, mais où ?

Dans son rapport, Recorded Future révèle que les escrocs opèrent via des boutiques en ligne. Les clients passent une commande et le propriétaire se rend chez une autorité de certification pour demander le certificat souhaité pour une application ou un site Web frauduleux. Pour en obtenir un, il utilise des identités volées d'une entreprise légitime et de ses employés.

« Nous croyons que les propriétaires d'entreprise légitimes ignorent complètement que leurs données ont été ou sont utilisées dans ces activités illicites », explique Barysevich.

Les recherches de l'expert ont également révélé que les cyberescrocs ont réussi à obtenir régulièrement des certificats légitimes de signature de code auprès d'autorités de certification populaires telles que Comodo, Thawte et Symantec.

Les certificats Apple étaient également disponibles.

« Dans le monde d'Apple, vous ne pouvez pas exécuter un programme qui n'est pas signé par un code, mais il existe de nombreux moyens de le contourner » , a déclaré Amit Serper, chercheur principal en sécurité chez Cybereason et spécialiste des malwares ciblant Mac. « Pour qu'un programme soit signé, vous devez créer un compte de développeur, payer Apple 99 $ et lui donner une raison de vous délivrer un certificat puisque l'objectif d'Apple est de gagner de l'argent et de recruter plus de développeurs, obtenir un certificat est incroyablement facile. »

« De nombreux logiciels malveillants et publicitaires pour les macs sont signés avec des certificats de signature de code légitimes fournis par Apple », a-t-il déclaré.

Les vendeurs remettent les certificats aux clients, qui les utilisent pour chiffrer le trafic HTTPS ou signer des applications, les faisant apparaître comme provenant d'une source légitime et fiable.


Qu’en est-il des prix ?

Les prix de tels certificats de signature de code sur le Dark Web vont de 299 $ à 1799 $, avec les produits haut de gamme incluant les certificats EV (Extended Validation), le plus haut niveau de certificats de confiance possible.

Cependant, malgré un marché naissant pour de tels outils d'évasion AV (les premières vitrines à pratiquer ce genre de vente sont apparues en 2015, d’après le document), ils ne sont pas encore très répandus parmi les développeurs de logiciels malveillants.

Selon Barysevich, le frein à cette adoption est le prix élevé des certificats signés. D’ailleurs, ils ont comme concurrent d’autres outils d'évasion de solutions AV, tels que les crypters (des logiciels qui peuvent chiffrer, masquer et manipuler les logiciels malveillants, les rendant indétectables pour les programmes de sécurité parce qu’ils leur sont présentés comme étant inoffensifs), qui se trouvent encore assez efficaces ces jours-ci et sont disponibles à des prix beaucoup plus réduits.

Néanmoins, Barysevich estime que les acteurs malveillants qui ont besoin d’un maximum de furtivité et d’efficacité vont continuer à compter sur ces types de certificats de façon régulière, indépendamment de leur prix.

Source : Recorded Future

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de AlexRutny
Membre du Club https://www.developpez.com
Le 14/11/2020 à 22:22
La signature du code représente un coût prohibitif pour les développeurs open source qui sont souvent des particuliers. Par exemple, obtenir un certificat pour une année coute environ 500$/an chez Digicert. C'est totalement inacceptable quand on sait que le processus de délivrance du certificat standard est totalement automatisé. C'est très cher payé pour une sécurité, comme l'article l'explique, qui reste à démontrer. (N'importe quel pirate un peu avisé peut créer une structure à 200 balles au Panama et obtenir un certificat). Pour obtenir la qualification EV, qui permet de passer sans encombre à travers Windows SmartScreen, il faut compter 700$/an chez Digicert. Une paille! Pour le coup, Apple est presque petit joueur, avec un cout de 99€/an avec en plus l'accès au support développeur Apple. Malheureusement, il n'est pas envisageable de signer un programme Windows avec des certificats Apple car le CA Apple n'est pas connu sous Windows - c'est très dommage.

Il est évident que la politique des acteurs tels que Microsoft et Apple fait tout pour favoriser les sociétés commerciales au détriment des "petits" développeurs.

Il est grand temps de disposer d'un Let's Encrypt pour signer son code (ce n'est malheureusement pas d'actualité). L'arrivée de cette organisation, a fait chuter les prix de 90% dans le domaine des certificats SSL. Aujourd'hui, quand on trouve des certificats SSL pour moins de 10€/an, on apprécie d'autant plus le vol que représente les certificats de signature de code à 500€/an.

Mon conseil, passez sous Linux : pas de code à signer, pas plus de rootkit ou de virus que sous Windows ou Mac.
2  0