La cellule de veille sur les menaces de Venafi avait affirmé en janvier que l’année 2015 verrait se développer un plus grand nombre d’attaques sur les systèmes de confiance. Qu’en est-il ?
Ces attaques visaient les certificats numériques et les clés de cryptage qui sont à la base de toute solution de cybersécurité. Ces prédictions se sont avérées exactes. On a en effet pu observer une série d’attaques par détournement de clés et de certificats, qui se sont reproduites plusieurs fois dans l’année, et notamment les attaques d’interception appelées « MITM » (Man-In-The-Middle), Logjam et Superfish, ainsi que de plus grandes vulnérabilités de type Heartbleed, la violation de la banque fédérale de réserve américaine de St. Louis et, plus récemment, les attaques mises au jour par l’analyse de Netcraft qui impliquent des certificats corrompus.
L’année 2015 semble aussi avoir vu se développer largement le cryptage et le trafic crypté…
« HTTPS Everywhere », tel a été en effet le mot d’ordre, les entreprises commençant à réaliser que le cryptage des communications ne pouvait plus rester une simple option mais devait devenir la norme. L’Office of Management and Budget (OMB) a aussi ordonné aux agences fédérales américaines d’utiliser davantage le cryptage suivant le protocole HTTPS. Ce qui a déclenché, du même coup, une nouvelle vague de sensibilisation au cryptage. Ce mouvement s’inscrivait bien sûr dans le cadre de la course du gouvernement américain à la cybersécurité, après l’intrusion informatique dont l’Office of Personnel Management (OPM) a été victime et qui a ébahi le monde et conduit au vol de données touchant des millions de personnes. L’année 2015 a par ailleurs vu s’opérer une prise de conscience, du côté des principaux navigateurs Internet – Google Chrome et Mozilla Firefox – qui ont considéré que l’autorité de certification chinoise, China Internet Network Information Center (CNNIC), n’était pas digne de confiance. Ils ont annoncé que le CNNIC serait interdit d’accès sur Chrome et Firefox. Enfin, notre tour d’horizon ne serait pas complet si nous ne mentionnions pas ce qui a été l’une des affaires les plus retentissantes de l’année et qui concerne Hillary Clinton. Laquelle a laissé son serveur personnel sans protection pendant des mois, alors qu’elle voyageait dans le monde entier, en utilisant son compte Gmail privé. Malheureusement, pendant ces quelques mois, n’importe qui a donc pu espionner ses communications concernant des opérations hautement confidentielles du gouvernement américain !
Le cryptage est-il la panacée ?
Paradoxalement, plus le cryptage se développe, plus il devient possible, pour les personnes mal intentionnées, de détourner des clés et des certificats. Selon le cabinet d’analyse Ponemon Research, chaque grande entreprise a déjà fait l’objet d’au moins une attaque par utilisation de clés et de certificats compromis au cours des 4 dernières années. La probabilité pour de nombreuses entreprises et agences de l’État d’être victimes d’attaques contre des systèmes de confiance est très forte. En particulier si l’on considère la tendance très marquée des menaces persistantes avancées (APT) à cibler les clés et les certificats : APT 1, APT 18, Mask, Poodle, Freak, Shellshock, l’attaque contre Sony…
En matière de nouvelles menaces contre les systèmes de confiance, quelles sont les tendances qui devraient apparaître en 2016 ?
Tout d’abord, le modèle de l’autorité de certification est cassé et la valeur des certificats est de plus en plus écornée – ce qui se traduit par un manque de confiance. L’année 2015 a apporté de nouveaux modèles économiques, avec le lancement de services d’émission de certificats gratuits, tel que « Let’s Encrypt ». Cette tendance signifie que, à terme, davantage de certificats seront utilisés, ce qui multipliera les possibilités pour les cybercriminels de se mêler au trafic crypté pour mener des attaques de type MITM. Les autorités de certification telles que Comodo et DigiCert ont aussi perdu en crédibilité depuis qu’il a été découvert que leurs certificats étaient falsifiés par des cybermystificateurs. Netcraft a récemment mené une nouvelle étude qui a permis de mettre au jour de faux sites internet de banque qui utilisaient des certificats SSL émis par Symantec, Comodo et GoDaddy…
Quelle est votre seconde grande tendance ?
Les logiciels de rançon (Ransomware) associés à l’internet des objets vont devenir des vecteurs d’attaque de choix. Avec les milliards d’objets connectés qui vont déferler dans notre monde de plus en plus connecté, les cybercriminels vont disposer d’un espace encore plus étendu pour mener toujours davantage d’attaques. Les dispositifs interconnectés reposent tous sur des clés et des certificats, pour l’authentification comme pour la protection de la vie privée, que les cybercriminels peuvent compromettre. Ce risque a été clairement établi lorsque des chercheurs en sécurité informatique ont pu démontrer, lors de la convention BlackHat 2015, que le système Onstar de General Motors pouvait être piraté. De la même façon, on a aussi pu découvrir un certain nombre de vulnérabilités impliquant des clés et des certificats sur des réfrigérateurs intelligents de Samsung ! A l’avenir, les cybercriminels vont chercher à exploiter pleinement le monde connecté de l’internet des objets pour réclamer des rançons en menaçant de prendre le contrôle de réseaux entiers impliquant des dispositifs mobiles, des réseaux domestiques intelligents et des objets connectés plus importants encore, au sein des entreprises. Avec les attaques d’interception de type MITM, les cybercriminels peuvent facilement intercepter du trafic entre l’objet connecté et le système central, en disant à l’objet en question d’effectuer une action malveillante (par exemple d’appuyer sur la pédale de frein, dans une voiture, ou de changer l’altitude d’un avion, de faire accélérer une voiture, de laisser une vanne de refroidissement ouverte dans une centrale électrique, d’administrer trop de morphine à un patient, etc.). Le cybercriminel peut aussi transmettre des mises à jour de micrologiciels pour isoler un dispositif ou pour le « casser » via une mise à jour malveillante.
Les fournisseurs de solutions de sécurité informatique devraient mal s’en sortir…
Oui. Ils vont perdre des clients, du chiffre d’affaires et, d’une façon générale, de la crédibilité car ils ne verront pas les pirates dissimulés dans le trafic crypté. L’intensification du cryptage posera problème aux fournisseurs de systèmes qui ne sauront pas décrypter en temps réel le trafic, entrant comme sortant. Car c’est bien là où les cybercriminels auront l’avantage : ils seront cachés dans le trafic crypté et les fournisseurs ne pourront pas détecter leurs attaques de type APT et supposeront que les menaces auront été traitées. Cette intensification du cryptage, on le voit, multipliera le nombre d’attaques et donnera à nos adversaires davantage de possibilités d’attaquer.
Les utilisateurs vont-ils réagir ?
Oui. Leur communauté va de plus en plus noter elle-même les autorités de certification, ce qui ajoutera à la défiance ambiante. Elle va commencer à noter les autorités de certification, telles que le CNNIC. Les grands navigateurs web feront de même. Google et Mozilla ne reconnaissent désormais plus le CNNIC, dans leurs navigateurs, comme une autorité racine de confiance alors que cette autorité est toujours reconnue par Apple et Microsoft. Quoi qu’il en soit, dans l’étude menée au BlackHat 2015 aux États-Unis, 24% des personnes interrogées ont dit avoir retiré de leur navigateur le CNNIC en tant qu’autorité racine de confiance. C’est un signe qui montre que les communautés d’utilisateurs commencent bel et bien à classer les autorités de certifications par eux-mêmes. De son côté, une étude de Netcraft a fait apparaître que de nombreuses autorités de certification telles que Cloudflare, Comodo, Symantec et GoDaddy émettaient des certificats frauduleux. Ce constat et l’attitude adoptée par les utilisateurs vis-à-vis du CNNIC nous conduisent à penser que les communautés d’utilisateurs vont de plus en plus procéder à ce classement des autorités de certification. On observe aussi que Microsoft est en train de limiter la possibilité, pour les autorités de certification appartenant au gouvernement, de délivrer des certificats au-delà de leur région. Ce qui s’appliquera aussi aux autorités de certification commerciales. D’après les orientations annoncées, les autorités de certification gouvernementales vont mettre en œuvre des politiques visant à restreindre l’authentification des serveurs aux domaines .gov et ne pourront émettre d’autres certificats que suivant les codes pays ISO3166 sur lesquels le pays aura un contrôle souverain (voir la définition d’une « autorité de certification gouvernementale ou « Government CA » à l’adresse http://aka.ms/auditreqs). Les autorités de certification gouvernementales qui travaillent aussi en tant qu’entités commerciales, à but non lucratif ou encore à des fins d’annonces publiques vont commencer à utiliser une racine différente pour toutes les émissions de leurs certificats (voir la définition d’une « autorité de certification commerciale ou « Government CA » à l’adresse http://aka.ms/auditreqs section III).
Quelle sera la cinquième tendance ?
Les services de signature de code contre le code malveillant vont devenir la norme dans la mesure où le recours accru au cryptage va créer des zones d’ombres pour les organisations. Les chercheurs de Netcraft ont récemment mis au jour un service de signature de code malveillant dissimulé. Il s’agit de l’un des tout premiers services de ce type, pour la signature malveillante, qui permettent au cybercriminel de choisir le certificat d’autorité de certification qu’il souhaite utiliser. Cela va renforcer la tendance à la notation des autorités de certification. Sachant que le nombre de logiciels malveillants existants est multiplié par deux chaque trimestre, il y a fort à parier que davantage de services de ce type vont encore apparaître.
La dernière tendance ?
La généralisation du cryptage, en particulier au sein des agences de l’État, va générer davantage de détournements de clés et de certificats et conduire à davantage d’attaques par interception (MITM). Si l’appel à l’intensification du cryptage est certes justifié pour garantir l’authenticité et la confidentialité des sites internet gouvernementaux, l’obligation dictée par l’OMB d’utiliser davantage le protocole HTTPS laissera néanmoins perdurer des lacunes importantes si elle n’est pas mise en œuvre avec un système immunitaire informatique bien adapté pour protéger les clés de cryptage et les certificats numériques. Avec l’intensification du cryptage, les personnes mal intentionnées vont devoir utiliser le protocole HTTPS pour monter des attaques efficaces. Soit en créant de faux certificats soit en corrompant des certificats existants. Par conséquent, les agences publiques qui s’orientent donc vers le « tout crypté » doivent, en premier lieu, contrôler leur trafic entrant afin de détecter les menaces. A ce niveau, aucun trafic ne doit échapper au contrôle car, une fois intercalés, les cybercriminels peuvent se dissimuler pendant de longues périodes et ne pas être repérés. Les agences doivent aussi s’armer pour pouvoir détecter toute utilisation malveillante de certificats falsifiés, compromis ou frauduleux sur internet, afin de stopper les attaques par usurpation (Spoofing) et par interception (MITM).
Propos recueillis par Erick Haehnsen
Commentez