Un utilisateur finlandais a pu, à l’aide d’un simple alias créé depuis Outlook.com, faire une demande de certificat de sécurité auprès du fournisseur Comodo. Non seulement il a pu l’obtenir, mais il n’a dû répondre à aucune question pour y parvenir. Le certificat a depuis été révoqué, mais souligne encore une fois la sécurité perfectible autour de ces petits fichiers si cruciaux.
Les certificats, maillons essentiels de la chaine de sécurité
Un certificat de sécurité agit dans les grandes lignes comme la carte d’identité d’un site web. Il s’agit d’un petit fichier contenant la « preuve » que le site est bien ce qu’il prétend être. Il est obligatoire pour la mise en place de connexions sécurisées et chiffrées via HTTPS par exemple et les utilisateurs devraient se méfier de tout site proposant des achats et qui n’en serait pas équipé. Tous les navigateurs indiquent aujourd’hui quand la connexion est sécurisée, le plus souvent en vert, juste avant que ne commence l’adresse du site.
Mais les certificats reposent sur un système d’attribution perfectible dont les failles ont donné lieu à de gros soucis de sécurité par le passé. On se souvient en particulier des attaques contre DigiNotar et Comodo, qui avait abouti à des centaines de certificats générés de manière authentique, mais pour le compte de pirates. De tels certificats peuvent alors être utilisés pour des sites malveillants, mais qui, pour l’utilisateur, apparaîtront légitimes. Une arme efficace dans les tentatives de phishing pour amener l’internaute à donner des informations très sensibles. L’attaque avait d’ailleurs mené DigiNotar à la banqueroute. Plus récemment, on a retrouvé dans le malware Destover un certificat dérobé lors de la fameuse attaque contre Sony Pictures. Comodo était également l'autorité qui avait fourni le certificat à SuperFish dans l'affaire qui a entouré Lenovo le mois dernier.
Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur
Et voilà que Comodo se retrouve une nouvelle fois impliqué dans un problème de certificat. Un responsable informatique finlandais a en effet remarqué en janvier que le webmail de Microsoft, Outlook.com, permettait de créer des alias de manière assez libre (la fonctionnalité n’est pas neuve). Il s’est alors demandé s’il pouvait créer une adresse ayant une apparence « officielle ». Dont acte : l’alias hostmaster@live.fi lui a été attribué.
Fort de cette nouvelle adresse (qui ne fait finalement que renvoyer vers son adresse email centrale), il a réalisé une demande de certificat auprès de Comodo et au nom de Microsoft. L’adresse ayant paru suffisamment officielle, aucune question n’a été réclamée selon Tivi, qui rapporte l’information. Visiblement surpris par le résultat, le responsable informatique a alors contacté Microsoft et l’autorité finlandaise de régulation des communications, sans résultats.
Puis Microsoft a semblé tout à coup se réveiller et a pris la décision, jeudi 12 mars, de bloquer son compte email. S’agissant de son compte principal, il ne lui a d’ailleurs plus été possible de se servir de son Lumia, ni de son compte Xbox, ce qui en dit long encore une fois sur l’importance de ce type d’identification centralisée.
Les préfixes tendancieux ont été bloqués
Interrogée par Tivi, la firme a répondu que les informations transmises par le responsable informatique étaient considérées « très sérieusement ». Le certificat a été révoqué et la liste de ceux acceptés par les Windows Server a été mise à jour pour en tenir compte. Par ailleurs, Microsoft invite l’ensemble des entreprises proposant des alias à refuser systématiquement tous les préfixes de type admin, administrator, postmaster, hostmaster et webmaster pour les internautes. Une page Technet a été ajoutée pour expliquer que le problème est résolu, tout en précisant qu'il n'était valable que pour le domaine @live.fi, ce qu'il est difficile de vérifier.
Nous avons d’ailleurs voulu tenter la manipulation sur Outlook.com dans sa version française. Nous avons donc tenté tous les mots de la liste, ainsi que des variantes dans la langue de Molière, sans résultats. Le webmail indique systématiquement que l'alias « n’est pas disponible ». Pour vérifier que l’adresse n’était pas tout simplement déjà utilisée par un autre internaute, nous avons tenté de créer l’alias « vincent@outlook.fr ». Cette fois, il nous a été répondu qu’il n’était « plus disponible », marquant donc une différence très nette. Ce qui signifie clairement que les préfixes ont été bloqués.
Il reste cependant étonnant que Microsoft n’ait pas pensé à bloquer ces préfixes avant, et encore plus surprenant qu’aucune vérification plus intensive n’ait été réalisée chez Comodo.
« Ce n'est pas une surprise »
Nous avons eu l'occasion de nous entretenir avec Stéphane Bortzmeyer, ingénieur système et réseaux à l’Afnic (Association française pour le nommage Internet en coopération). Pour lui, la situation n’a rien d’étonnant : « c’est une faiblesse connue de longue date des certificats de sécurité ». Il nous explique en effet qu’en obtenir est très simple et répond à un processus radicalement différent de la gestion des noms de domaines par exemple : « Ce sont des sociétés privées qui ont avant tout des impératifs commerciaux. Plus elles vendent de certificats, plus elles gagnent d’argent ».
De fait, il existe des centaines d’entreprises capables de générer des certificats, et toutes n’ont pas le même niveau d’exigence et de vérification de l’identité. « Le problème est simple : même si Comodo avait refusé de donner le certificat au Finlandais, il aurait suffi qu’il aille voir ailleurs ». Une sorte de nivellement par le bas ? « Si les clients se fâchent parce qu’ils trouvent les routines de vérification trop exigeantes, ils se tourneront vers d’autres entreprises où on ne les embête pas autant ».
Il faudrait, pour sortir de cette situation, que des solutions puissent fédérer une majorité d’acteurs impliqués pour avoir du poids. Des solutions qui seraient acceptées par tous, sans parler des travaux nécessaires sur l’architecture actuelle et le financement de ce vaste chantier. Mais, comme nous l’indique Stéphane Bortzmeyer, de telles solutions existent : il faut « simplement arriver à convaincre tout le monde ».
