Accueil Expert Le tout crypté va multiplier les attaques contre les systèmes de confiance

Le tout crypté va multiplier les attaques contre les systèmes de confiance

Kevin Bocek
Kevin Bocek, Venafi

Selon Kevin Bocek, vice-président Security Strategy & Threat Intelligence de Venafi (protection des clés cryptographiques et certificats numériques), la généralisation du cryptage va démultiplier les attaques contre les systèmes de confiance. Son avis d’expert sur le sujet, arguments à la clé.

La cellule de veille sur les menaces de Venafi avait affirmé en janvier que l’année 2015 verrait se développer un plus grand nombre d’attaques sur les systèmes de confiance, attaques qui viseraient les certificats numériques et les clés de cryptage qui sont à la base de toute solution de cybersécurité. Ces prédictions se sont avérées exactes. On a en effet pu observer une série d’attaques par détournement de clés et de certificats, qui se sont reproduites plusieurs fois dans l’année, et notamment les attaques d’interception appelées « MITM » (Man-In-The-Middle), Logjam et Superfish, ainsi que de plus grandes vulnérabilités de type Heartbleed, la violation de la banque fédérale de réserve américaine de St. Louis et, plus récemment, les attaques mises au jour par l’analyse de Netcraft qui impliquent des certificats corrompus.

L’année 2015 a aussi vu se développer largement le cryptage et le trafic crypté. « HTTPS Everywhere » : tel a été en effet le mort d’ordre, les entreprises commençant à réaliser que le cryptage des communications ne pouvait plus rester une simple option, mais devait devenir la norme. L’OMB (Office of Management and Budget) a aussi ordonné aux agences fédérales américaines d’utiliser davantage le cryptage suivant le protocole HTTPS, ce qui a déclenché du même coup une nouvelle vague de sensibilisation au cryptage. Ce mouvement s’inscrivait bien sûr dans le cadre de la course du gouvernement américain à la cybersécurité, après l’intrusion informatique dont l’OPM (Office of Personnel Management) a été victime et qui a ébahi le monde et mené au vol de données touchant des millions de personnes.

L’année 2015 a par ailleurs vu s’opérer une prise de conscience, du côté des principaux navigateurs – Google et Mozilla – qui ont considéré que l’autorité de certification chinoise CNNIC (China Internet Network Information Center) n’était pas digne de confiance et qui ont annoncé que le CNNIC serait interdit d’accès sur Chrome et Firefox. Enfin, notre tour d’horizon ne serait pas complet si nous ne mentionnions pas ce qui a été l’une des affaires les plus retentissantes de l’année et qui concerne Hillary Clinton, qui a laissé son serveur personnel sans protection pendant des mois, alors qu’elle voyageait dans le monde entier, en utilisant son compte Gmail privé. Malheureusement, pendant ces quelques mois, n’importe qui a donc pu espionner ses communications concernant des opérations hautement confidentielles du gouvernement américain.

Paradoxalement, plus le cryptage se développe, plus il devient possible pour les personnes mal intentionnées de détourner des clés et des certificats. Selon Ponemon Research, chaque grande entreprise a déjà fait l’objet d’au moins une attaque par utilisation de clés et de certificats compromis au cours des 4 dernières années. La probabilité pour de nombreuses entreprises et agences de l’Etat d’être victimes d’attaques contre des systèmes de confiance est très forte, en particulier si l’on considère la tendance très marquée des menaces persistantes avancées (APT) à cibler les clés et les certificats : APT 1, APT 18, Mask, POODLE, FREAK, Shellshock, et l’attaque contre Sony, de même que le CNNIC, ont tous concouru à l’émission de certificats malveillants.

Ainsi, considérant toutes ces attaques menées contre des systèmes de confiance, il nous semble fort prévisible que nous verrons apparaître en 2016 les nouvelles menaces et les nouvelles tendances suivantes :

1 Le modèle de l’autorité de certification est cassé, et la valeur des certificats est de plus en plus écornée, ce qui se traduit par un manque de confiance. L’année 2015 a apporté de nouveaux modèles économiques, avec le lancement de services d’émission de certificats gratuits, tel que « Let’s Encrypt ». Cette tendance signifie qu’à terme davantage de certificats seront utilisés, ce qui multipliera les possibilités pour les cybercriminels de se mêler au trafic crypté pour mener des attaques de type MITM. Les autorités de certification telles que Comodo et DigiCert ont aussi perdu en crédibilité, depuis qu’il a été découvert que leurs certificats étaient falsifiés par des cyber mystificateurs. Netcraft a récemment mené une nouvelle étude qui a permis de mettre au jour des faux sites internet de banque qui utilisaient des certificats SSL émis par Symantec, Comodo et GoDaddy.

2 Les logiciels de rançon associés à l’internet des objets vont devenir des vecteurs d’attaque de choix. Avec les milliards d’objets connectés qui vont déferler dans notre monde de plus en plus connecté, les cybercriminels vont disposer d’un espace encore plus étendu pour mener toujours davantage d’attaques. Les dispositifs interconnectés reposent tous sur des clés et des certificats, pour l’authentification comme pour la protection de la vie privée, que les cybercriminels peuvent compromettre. Ce risque a été clairement établi lorsque des chercheurs en sécurité informatique ont pu démontrer, lors du BlackHat 2015, que le système Onstar de General Motors pouvait être piraté. De la même façon, on a aussi pu découvrir un certain nombre de vulnérabilités impliquant des clés et des certificats sur des réfrigérateurs intelligents de Samsung. Les cybercriminels vont chercher à l’avenir à exploiter pleinement le monde connecté de l’internet des objets pour réclamer des rançons en menaçant de prendre le contrôle de réseaux entiers impliquant des dispositifs mobiles, des réseaux domestiques intelligents et des objets connectés plus importants encore, au sein des entreprises. Avec les attaques d’interception de type MITM, les cybercriminels peuvent facilement intercepter du trafic entre l’objet connecté et le système central, en disant à l’objet en question d’effectuer une action malveillante (par exemple d’appuyer sur la pédale de frein, dans une voiture, ou de changer l’altitude d’un avion, de faire accélérer une voiture, de laisser une vanne de refroidissement ouverte dans une centrale électrique, d’administrer trop de morphine à un patient, etc.). Le cybercriminel peut aussi transmettre des mises à jour de micrologiciels pour isoler un dispositif ou pour le « casser » via une mise à jour malveillante.

3 Les grands fournisseurs de systèmes de sécurité vont perdre des clients, du chiffre d’affaires et d’une façon générale de la crédibilité, car ils ne verront pas les pirates dissimulés dans le trafic crypté. L’intensification du cryptage posera problème aux fournisseurs de systèmes qui ne sauront pas décrypter en temps réel le trafic, entrant comme sortant. Car c’est bien là où les cybercriminels auront l’avantage : ils seront cachés dans le trafic crypté et les fournisseurs ne pourront pas détecter leurs attaques de type APT et supposeront que les menaces auront été traitées. Cette intensification du cryptage, on le voit, multipliera le nombre d’attaques et donnera à nos adversaires davantage de possibilités d’attaquer.

4 La communauté des utilisateurs va de plus en plus noter elle-même les autorités de certification, ce qui ajoutera à la défiance ambiante. La communauté des utilisateurs va commencer à noter les autorités de certification, telles que le CNNIC, et les grands navigateurs web feront de même. Google et Mozilla ne reconnaissent désormais plus le CNNIC, dans leurs navigateurs, comme une autorité racine de confiance, alors que cette autorité est toujours reconnue par Apple et Microsoft. Quoi qu’il en soit, dans l’étude menée au BlackHat 2015 aux Etats-Unis, 24 % des personnes interrogées ont dit avoir retiré de leur navigateur le CNNIC en tant qu’autorité racine de confiance, ce qui montre que les communautés d’utilisateurs commencent bel et bien à classer les autorités de certifications par eux-mêmes. L’étude de Netcraft a en outre fait apparaître que de nombreuses autorités de certification telles que Cloudflare, Comodo, Symantec et GoDaddy émettaient des certificats frauduleux. Ce constat et l’attitude adoptée par les utilisateurs vis-à-vis du CNNIC nous conduisent à penser que les communautés d’utilisateurs vont de plus en plus procéder à ce classement des autorités de certification. On observe aussi que Microsoft est en train de limiter la possibilité pour les autorités de certification appartenant au gouvernement de délivrer des certificats au-delà de leur région, ce qui s’appliquera aussi aux autorités de certification commerciales. D’après les orientations annoncées :

  • Les autorités de certification gouvernementales vont mettre en œuvre des politiques visant à restreindre l’authentification des serveurs aux domaines .gov et ne pourront émettre d’autres certificats que suivant les codes pays ISO3166 sur lesquels le pays aura un contrôle souverain (voir la définition d’une « autorité de certification gouvernementale ou « Government CA » à l’adresse http://aka.ms/auditreqs).
  • Les autorités de certification gouvernementales qui travaillent aussi en tant qu’entités commerciales, à but non lucratif ou encore à des fins d’annonces publiques vont commencer à utiliser une racine différente pour toutes les émissions de leurs certificats (voir la définition d’une « autorité de certification commerciale ou « Government CA » à l’adresse http://aka.ms/auditreqs section III).

5 Les services de signature de code, contre le code malveillant, vont devenir la norme, dans la mesure où le recours accru au cryptage va créer des zones d’ombres, pour les organisations. Les chercheurs de Netcraft ont récemment mis au jour un service de signature de code malveillant dissimulé. Il s’agit de l’un des tout premiers services de ce type, pour la signature malveillante, qui permettent au cybercriminel de choisir le certificat d’autorité de certification qu’il souhaite utiliser, ce qui va renforcer la tendance à la notation des autorités de certification. Sachant que le nombre de logiciels malveillants existants est multiplié par deux chaque trimestre, il y a fort à parier que davantage de services de ce type vont encore apparaître.

6 La généralisation du cryptage, en particulier au sein des agences de l’Etat, va générer davantage de détournements de clés et de certificats et conduire à davantage d’attaques par interception (MITM). Si l’appel à l’intensification du cryptage est certes justifié (évolution qu’Edward Snowden lui-même avait publiquement recommandée il y a deux ans !), pour garantir l’authenticité et la confidentialité des sites internet fédéraux, l’obligation dictée par l’OMB d’utiliser davantage le protocole HTTPS laissera néanmoins perdurer des lacunes importantes, si elle n’est pas mise en œuvre avec un système immunitaire informatique bien adapté, pour protéger les clés de cryptage et les certificats numériques. Avec l’intensification du cryptage, pour monter des attaques efficaces, les personnes mal intentionnées vont devoir utiliser le protocole HTTPS et soit créer de faux certificats, soit corrompre des certificats existants. Les agences fédérales, qui toutes s’orientent donc vers le « tout crypté », doivent par conséquent contrôler en premier lieu leur trafic entrant, pour détecter les menaces. A ce niveau, aucun trafic ne doit échapper au contrôle, car une fois intercalés, les cybercriminels peuvent se dissimuler pendant de longues périodes et ne pas du tout être repérés. Les agences doivent aussi s’armer pour pouvoir détecter toute utilisation malveillante de certificats falsifiés, compromis ou frauduleux sur Internet, afin de stopper les attaques par usurpation (spoofing) et par interception (MITM).