
Lancé en 2012, le projet a atteint le stade de bêta publique en décembre 2015 et n’a été disponible en version stable que le 12 avril dernier, avec des partenaires de la trempe de Cisco et Akamai qui ont renouvelé leur sponsoring Platinum. Le projet affirmait avoir délivré plus de 1,7 million de certificats pour 3,8 millions de sites web depuis le lancement de la bêta publique. Faisant allusion à l’engagement de Let’s Encrypt de participer à la vulgarisation des protocoles SSL/TLS sur le web, Stephen Ludin, architecte en chef chez Akamai, a alors avancé que « cette étape est la confirmation de la capacité de Let’s Encrypt à réaliser cette vision et avoir un énorme impact sur l'écosystème Internet ».
Il faut noter le partenariat développé autour du projet Let’s Encrypt entre l’EFF et Automattic, une startup américaine d’édition de logiciel qui développe et distribue entre autres l'outil de publication de blogs internet à très grand succès WordPress. Après ce partenariat, Automattic a annoncé que tous les blogs WordPress tournant sur des domaines personnalisés peuvent désormais activer en option le certificat délivré par Let’s Encrypt en quelques clics seulement, et migrer tout leur contenu vers du HTTPS.
Le 11 juin 2016, le projet Let's Encrypt a entrepris d'envoyer des courriels à tous les abonnés à sa newsletter à propos d'une mise à jour apportée à leur contrat d'abonnement. Comme plusieurs entreprises le font, le projet a fait appel à une partie tierce pour gérer cette tâche. Selon Josh Aas, l'ISRG Executive Director de Let's Encrypt, il y a eu un bogue dans le système qui a conduit à une divulgation involontaire de milliers d'adresses mail dans la liste de diffusion d'abonnés à ses abonnés. L'organisation a révélé que 7618 adresses mail ont été compromises et que le même nombre d'utilisateurs ont reçu des courriels en quantités variables étant donné que la chaîne de courriel automatisé a grandi en taille.
« Le 11 juin 2016 (UTC), nous avons commencé à envoyer un courriel à tous les abonnés actifs qui ont fourni une adresse mail, les informant d'une mise à jour à notre contrat d'abonnement. Cela a été fait par le biais d'un système automatisé qui contenait un bogue qui, par erreur, a préfixé entre 0 et 7618 d’autres adresses mail au corps du courriel. La résultante étant que les bénéficiaires pouvaient voir les adresses mail des autres destinataires. Le problème a été remarqué et le système a été arrêté après qu’environ 7618 sur environ 383 000 courriels (1,9 %) ont été envoyés. Chaque courriel contenait par erreur les adresses mail des courriels envoyés précédemment, donc les courriels précédents contenaient moins d'adresses que les derniers.
Nous prenons notre relation avec nos utilisateurs très au sérieux et nous nous excusons pour l'erreur. Nous allons faire une analyse approfondie afin de déterminer exactement comment cela est arrivé et comment nous pouvons empêcher qu’un tel évènement se produise à nouveau. Nous mettrons à jour ce rapport d'incident avec nos conclusions.
Si vous avez reçu un de ces courriels, nous vous demandons de ne pas publier des listes d'adresses électroniques au public ».
Il faut noter que moins de 2 % de ses utilisateurs se sont trouvés affectés et que Let’s Encypt a su réagir rapidement. Aussi faibles que puissent être les conséquences de cette divulgation, elles viennent à nouveau mettre en exergue les failles inhérentes à la confiance centralisée sur le web.
Ce n’est pas la première menace de sécurité à laquelle Let’s Encrypt a fait face, étant donné qu’au début de cette année, les chercheurs en sécurité de Trend Micro ont découvert une campagne de malvertising qui s’est servi d’une technique de « domain shadowing » pour abuser de Let’s Encrypt (les attaquants qui ont acquis la capacité de créer des sous-domaines dans un domaine légitime le font, mais le sous-domaine créé conduit à un serveur sous le contrôle des assaillants. Dans ce cas particulier, les attaquants créent ad.{domainelegitime}.com sous le site légitime et le trafic créé dans ce sous-domaine se sert de HTTPS et d’un certificat Let’s Encrypt). D’ailleurs, parlant des cas comme celui-ci où les attaquants sont capables de créer des sous-domaines sous un domaine légitime, Trend Micro a estimé « qu’une autorité de certification qui délivre automatiquement des certificats spécifiques à ses sous-domaines peut aider, par inadvertance, les cybercriminels, ainsi que rendre le propriétaire du domaine ignorant du problème et donc incapable de l'empêcher ».
Source : Let's Encrypt (rapport préliminaire sur l'incident), Let's Encrypt (annonce de la disponibilité générale), WordPress (annonce du HTTPS gratuit pour tous les domaines personnalisés hébergés sur WordPress.com), blog Trend Micro
Et vous ?

Voir aussi :

