Certificats : quand Comodo se fait berner par un alias Outlook.com

Certificats : quand Comodo se fait berner par un alias Outlook.com

Simple comme un alias

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

19/03/2015 6 minutes
38

Certificats : quand Comodo se fait berner par un alias Outlook.com

Un utilisateur finlandais a pu, à l’aide d’un simple alias créé depuis Outlook.com, faire une demande de certificat de sécurité auprès du fournisseur Comodo. Non seulement il a pu l’obtenir, mais il n’a dû répondre à aucune question pour y parvenir. Le certificat a depuis été révoqué, mais souligne encore une fois la sécurité perfectible autour de ces petits fichiers si cruciaux.

Les certificats, maillons essentiels de la chaine de sécurité

Un certificat de sécurité agit dans les grandes lignes comme la carte d’identité d’un site web. Il s’agit d’un petit fichier contenant la « preuve » que le site est bien ce qu’il prétend être. Il est obligatoire pour la mise en place de connexions sécurisées et chiffrées via HTTPS par exemple et les utilisateurs devraient se méfier de tout site proposant des achats et qui n’en serait pas équipé. Tous les navigateurs indiquent aujourd’hui quand la connexion est sécurisée, le plus souvent en vert, juste avant que ne commence l’adresse du site.

Mais les certificats reposent sur un système d’attribution perfectible dont les failles ont donné lieu à de gros soucis de sécurité par le passé. On se souvient en particulier des attaques contre DigiNotar et Comodo, qui avait abouti à des centaines de certificats générés de manière authentique, mais pour le compte de pirates. De tels certificats peuvent alors être utilisés pour des sites malveillants, mais qui, pour l’utilisateur, apparaîtront légitimes. Une arme efficace dans les tentatives de phishing pour amener l’internaute à donner des informations très sensibles. L’attaque avait d’ailleurs mené DigiNotar à la banqueroute. Plus récemment, on a retrouvé dans le malware Destover un certificat dérobé lors de la fameuse attaque contre Sony Pictures. Comodo était également l'autorité qui avait fourni le certificat à SuperFish dans l'affaire qui a entouré Lenovo le mois dernier.

Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur

Et voilà que Comodo se retrouve une nouvelle fois impliqué dans un problème de certificat. Un responsable informatique finlandais a en effet remarqué en janvier que le webmail de Microsoft, Outlook.com, permettait de créer des alias de manière assez libre (la fonctionnalité n’est pas neuve). Il s’est alors demandé s’il pouvait créer une adresse ayant une apparence « officielle ». Dont acte : l’alias [email protected] lui a été attribué.

Fort de cette nouvelle adresse (qui ne fait finalement que renvoyer vers son adresse email centrale), il a réalisé une demande de certificat auprès de Comodo et au nom de Microsoft. L’adresse ayant paru suffisamment officielle, aucune question n’a été réclamée selon Tivi, qui rapporte l’information. Visiblement surpris par le résultat, le responsable informatique a alors contacté Microsoft et l’autorité finlandaise de régulation des communications, sans résultats.

Puis Microsoft a semblé tout à coup se réveiller et a pris la décision, jeudi 12 mars, de bloquer son compte email. S’agissant de son compte principal, il ne lui a d’ailleurs plus été possible de se servir de son Lumia, ni de son compte Xbox, ce qui en dit long encore une fois sur l’importance de ce type d’identification centralisée.

Les préfixes tendancieux ont été bloqués

Interrogée par Tivi, la firme a répondu que les informations transmises par le responsable informatique étaient considérées « très sérieusement ». Le certificat a été révoqué et la liste de ceux acceptés par les Windows Server a été mise à jour pour en tenir compte. Par ailleurs, Microsoft invite l’ensemble des entreprises proposant des alias à refuser systématiquement tous les préfixes de type admin, administrator, postmaster, hostmaster et webmaster pour les internautes. Une page Technet a été ajoutée pour expliquer que le problème est résolu, tout en précisant qu'il n'était valable que pour le domaine @live.fi, ce qu'il est difficile de vérifier.

comodo certificat outlook.comcomodo certificat outlook.com

Nous avons d’ailleurs voulu tenter la manipulation sur Outlook.com dans sa version française. Nous avons donc tenté tous les mots de la liste, ainsi que des variantes dans la langue de Molière, sans résultats. Le webmail indique systématiquement que l'alias « n’est pas disponible ». Pour vérifier que l’adresse n’était pas tout simplement déjà utilisée par un autre internaute, nous avons tenté de créer l’alias « [email protected] ». Cette fois, il nous a été répondu qu’il n’était « plus disponible », marquant donc une différence très nette. Ce qui signifie clairement que les préfixes ont été bloqués.

Il reste cependant étonnant que Microsoft n’ait pas pensé à bloquer ces préfixes avant, et encore plus surprenant qu’aucune vérification plus intensive n’ait été réalisée chez Comodo.

« Ce n'est pas une surprise »

Nous avons eu l'occasion de nous entretenir avec Stéphane Bortzmeyer, ingénieur système et réseaux à l’Afnic (Association française pour le nommage Internet en coopération). Pour lui, la situation n’a rien d’étonnant : « c’est une faiblesse connue de longue date des certificats de sécurité ». Il nous explique en effet qu’en obtenir est très simple et répond à un processus radicalement différent de la gestion des noms de domaines par exemple : « Ce sont des sociétés privées qui ont avant tout des impératifs commerciaux. Plus elles vendent de certificats, plus elles gagnent d’argent ».

De fait, il existe des centaines d’entreprises capables de générer des certificats, et toutes n’ont pas le même niveau d’exigence et de vérification de l’identité. « Le problème est simple : même si Comodo avait refusé de donner le certificat au Finlandais, il aurait suffi qu’il aille voir ailleurs ». Une sorte de nivellement par le bas ? « Si les clients se fâchent parce qu’ils trouvent les routines de vérification trop exigeantes, ils se tourneront vers d’autres entreprises où on ne les embête pas autant ».

Il faudrait, pour sortir de cette situation, que des solutions puissent fédérer une majorité d’acteurs impliqués pour avoir du poids. Des solutions qui seraient acceptées par tous, sans parler des travaux nécessaires sur l’architecture actuelle et le financement de ce vaste chantier. Mais, comme nous l’indique Stéphane Bortzmeyer, de telles solutions existent : il faut « simplement arriver à convaincre tout le monde ».

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les certificats, maillons essentiels de la chaine de sécurité

Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur

Les préfixes tendancieux ont été bloqués

« Ce n'est pas une surprise »

Commentaires (38)


Décidément, Comodo c’est pas leur fort les certificats de sécurité. Faudrait pas que ça devienne un habitude.<img data-src=" />


Du coup le type n’a pas récupéré son compte Microsoft? Sympa MS…








Leixia a écrit :



Du coup le type n’a pas récupéré son compte Microsoft? Sympa MS…





Oui enfin quand t’as plus de 2 de qi tu ne fais pas ce genre de test avec ton compte principale, tu utilises un compte secondaire. Il a voulu jouer il a perdu.



ça n’empêche qu’il a voulu prévenir d’une faille, &nbsp;et qu’il a été honnête.

Bref plutôt que de le remercier, MS lui ferme son compte…


Avec des guignoles pareils, on aurait presque meilleur temps de faire un réseau de validation de clé public en paire à paire comme GPG.


en plus c’est NSAproof <img data-src=" /> (d’après Wikipedia)


ça l’est .



Par contre avec gnupg vous arrivez a envoyer des mail aux format html ?


je ne l’utilise pas, je ne saurai te répondre. <img data-src=" />








ledufakademy a écrit :



ça l’est .



Par contre avec gnupg vous arrivez a envoyer des mail aux format html ?





Je l’utilise avec Mutt. Je ne saurais pas te dire. Globalement, j’envoie toujours mes mails en mode texte. Mais la réponse m’intéresse aussi.





«&nbsp;Ce sont des sociétés privées qui ont avant tout des impératifs

commerciaux. Plus elles vendent de certificats, plus elles gagnent

d’argent&nbsp;».





Mouais, pour avoir pris un certificat SSL récemment chez Commodo (3 mois) ils ont été bien chiants sur les modalités de vérification…


“Par ailleurs, Microsoft invite l’ensemble des entreprises proposant des alias à refuser systématiquement tous les préfixes de type admin, administrator, postmaster, hostmaster et webmaster pour les internautes”



&nbsp;Bien vu l’aveugle.


Quelle rigueur dans les test de Vincent ^^ <img data-src=" />


outlook.fr faudrait que je pense à l’utilisé de temps en temps le mail de mon pc, il risque de rouillé.<img data-src=" />








Leixia a écrit :



ça n’empêche qu’il a voulu prévenir d’une faille, &nbsp;et qu’il a été honnête.

Bref plutôt que de le remercier, MS lui ferme son compte…





ben comme ça les prochains ne diront rien et ils pleureront quand ils se feront pirater



Parce qu’on ne peut pas se servir d’un Lumia si on n’a pas un compte Ms ?!


Tout comme tu ne peux pas te servir d’Android sans compte Gmail et d’iPhone sans compte iTunes (pour Apple, je le piffe un peu <img data-src=" />)


Mon tel Android marche très bien sans compte Gmail. Quant à l’iPhone, j’en sais rien.


En même temps il n’y a que Microsoft pour ne pas auto provisionner des “standards” tel que:







  • postmaster

  • hostmaster

  • admin

  • domains

  • webmaster





    et surement d’autre que j’oublie, par contre administrator ou des trucs zarbi cela pas de problème…


Exact, c’est entièrement la faute de Microsoft ! Ces adresses font parties de la gestion technique d’un domaine et ne doivent pas être attribuées&nbsp; (RFC2142)



J’ai jamais été choqué qu’on me proposes hostmaster pour la validation d’un certificat ou un transfert d’un nom de domaine.


Arf, je voulais dire compte Google ;)



A moins bien sur d’utiliser des Roms android alternatives (dans tout les cas, l’accès à à Google Play ne doit pas être possible)


Parce que MS lit les RFC maintenant ? <img data-src=" />



<img data-src=" />


Pas sur Nexus 5 en v5.1 si tu veux configurer les emails/contacts


Bon, finalement, ils ont eu chaud au cul et c’est avec pas mal de bol que ce soit trouvé par un “whitehat” (tiens, en parlant de ça, j’ai vu que la trad’ française a encore frappé, le film “blackhat” est devenu “hacker”. Putain!)









John Shaft a écrit :



Arf, je voulais dire compte Google ;)



A moins bien sur d’utiliser des Roms android alternatives (dans tout les cas, l’accès à à Google Play ne doit pas être possible)





Le google play store est lié forcément à un compte google, donc même avec une ROM alternative, ce n’est pas possible. Et ceci est vrai pour tous les services google sur android.

Cependant, ce n’est pas le seul “store”, même si c’est le seul considéré comme de confiance par Android. De plus il est toujours possible d’installer des APK directement.

Sinon, il me semble que pour samsung, il est possible de ne pas utiliser de compte google (il me semble que je peux toujours le désactiver sur mon SGS4 “vanilla”).









tazvld a écrit :



Cependant, ce n’est pas le seul “store”, même si c’est le seul considéré comme de confiance par Android. De plus il est toujours possible d’installer des APK directement.







Pour la plus grande majorité des utilisateurs ça restera malheureusement le seul (avec celui du constructeur du mobile éventuellement).




Sur les WP c’est tout pareil. On peux ignorer de se connecter aux services Microsoft et donc ne pas profiter du store etc



Rien ne nous confirme si Microsoft à continué de bloquer le compte. Le mec à du appeler et est tombé sur une personne qui n’a rien pipé ou l’a pris pour un trou du cul. Les coms étant enregistrées ça à du finir dans les mains d’un autre mec qui à appliquer la méthodes brute … Rien de neuf sous le soleil dans des boites de cette envergure.




Puis Microsoft a semblé tout à coup se réveiller et a pris la décision, jeudi 12 mars, de bloquer son compte email. S’agissant de son compte principal, il ne lui a d’ailleurs plus été possible de se servir de son Lumia, ni de son compte Xbox, ce qui en dit long encore une fois sur l’importance de ce type d’identification centralisée.





Ah quand même ! Vivent les comptes centralisés ! Un progrès indéniable <img data-src=" />


Je suis plus d’accord avec cette affirmation qu’avec la précédente.



Perso, je n’ai utilisé le store de Google qu’une fois. Depuis, il n’est même plus installé sur mon téléphone.

Pour info, j’utilise Android depuis la Nexus One, soit environ 5 ans. Et je m’en porte très bien.


Pareillement, je suis sur un Android “stock” et je passe majoritairement par F-Droid. Néanmoins, c’est plus réservé à des geeks barbus comme système








GentooUser a écrit :



Exact, c’est entièrement la faute de Microsoft ! Ces adresses font parties de la gestion technique d’un domaine et ne doivent pas être attribuées&nbsp; (RFC2142)



J’ai jamais été choqué qu’on me proposes hostmaster pour la validation d’un certificat ou un transfert d’un nom de domaine.





Tout à fait d’accord. L’erreur ne vient pas de Comodo mais de Microsoft. De plus, le niveau de vérification dépend aussi du type de certificat, le type DV (domain validation, le moins cher) n’est vérifié qu’avec une adresse mail.&nbsp;



C’est DNS sec qui permet de lié certificat en enregistrement DNS, non ?


j’utilises u nmobile android, j’ai volontairement refuser de le lier à un compte gmail/google… Il n’a pas été modifié avec une rom alternative non plus.



il fonctionne très bien au quotidien, mais bien évidement (et c’est logique) je ne peux pas utiliser les services googles (et n’en ai ni l’envie ni le besoin non plus sur cet appareil, donc bon) comme le marché d’applications Play, l’appli gmail, etc.



comment je fais pour installer des applis ? à la main avec les apk



Alors que oui, une fois un androphone lié à un compte gmail, un windows phone lié à un compte live… voient le dit compte bloqué, le mobile est juste inutilisable meme pour les fonctions de base (ou en tou cas une grande partie)








Djaron a écrit :



j’utilises u nmobile android, j’ai volontairement refuser de le lier à un compte gmail/google… Il n’a pas été modifié avec une rom alternative non plus.



il fonctionne très bien au quotidien, mais bien évidement (et c’est logique) je ne peux pas utiliser les services googles (et n’en ai ni l’envie ni le besoin non plus sur cet appareil, donc bon) comme le marché d’applications Play, l’appli gmail, etc.



comment je fais pour installer des applis ? à la main avec les apk



Alors que oui, une fois un androphone lié à un compte gmail, un windows phone lié à un compte live… voient le dit compte bloqué, le mobile est juste inutilisable meme pour les fonctions de base (ou en tou cas une grande partie)







+1 et ça certains ont du mal à le comprendre…



Pour ma part j’utilise un compte Gmail bidon pour avoir accès au Store, et c’est tout. Je n’utilise pas les applis Google :





  • Email (et non Gmail qui lie tout ton téléphone, contacts etc. à un compte Gmail)

  • calendrier : serveur OwnCloud perso (et non pas le calendrier Gmail)

  • GPS Navigator Free, basé sur Open Street Map (et non Google Maps)



    Bref il est tout à fait possible d’utiliser Android sans pour autant le lier à Google. Je ne comprends pas pourquoi certains ont autant de mal à le comprendre, parce que c’est pareil partout : il est possible d’utiliser Windows sans avoir de compte Microsoft, d’utiliser un Mac sans avoir de compte iCloud, et ainsi de suite…



Ceux qui disent c’est la faute de Microsoft, vous pariez combien qu’avec une adresse&nbsp;[email protected] ou autre équivalent avec une légère différence, ça serait passé ?



Ce baser sur une NFC pour identifier une personnes en face ?

Génial les mecs vous avez pas trouver moins secure ?

En aucun cas, pour aucun service, (encore plus quand s’est lié à la sécurité) une donnée d’une telle importance ne devrait être délivré de cette manière.



Oui MS est coupable d’avoir laisser la provision de ces addresses libres (ne serait-ce que pour les emails de spam)

NON Comodo n’aurai jamais du renvoyer le certificats en se basant sur ça uniquement, et c’est là où est le plus gros problème. L’erreur de MS à juste mise en avant un gros soucis.








nekogami a écrit :



Ceux qui disent c’est la faute de Microsoft, vous pariez combien qu’avec une adresse&nbsp;[email protected] ou autre équivalent avec une légère différence, ça serait passé ?





Je ne parie pas : je sais (j’ai même testé). Avec une légère différence dans l’adresse mail, ça ne passe pas. Ca n’est pas parce que Comodo a pu faire des erreurs dans le passé que c’est le cas ici.&nbsp;Comodo n’a fait que respecter son contrat.&nbsp;



D’autres éditeurs proposent également des systèmes équivalents de vérification pour des certificats “bas de gamme”.



Pour être précis, la vérification ne se base pas sur une RFC, mais sur des adresses mails “standard” proposées par cette RFC. C’est assez grave de la part de Microsoft de laisser des adresses ce genre d’adresse accessible par n’importe qui : ça ne pose pas de problème que pour l’obtention d’un certificat ! Imaginez que l’internaute finlandais ait demandé [email protected] : il aurait reçu une grande partie des mails concernant les problèmes (notamment de sécurité) sur le nom de domaine (et le site web associé, s’il y en a un), car c’est justement une adresse habituelle pour contacter le service en charge de ce type de problème !



Et après ça, il y en a pour dire que CA-cert&nbsp;n’est pas assez fiable… &nbsp;Quand tu vois leur&nbsp;process, tu vois qu’ils doivent juste être plus fiable que tout ces services commerciaux à deux balles.


Pourtant j’ai lu des critiques assez sévères envers CA-cert et leur processus, justement…








nekogami a écrit :



Ceux qui disent c’est la faute de Microsoft, vous pariez combien qu’avec une adresse&nbsp;[email protected] ou autre équivalent avec une légère différence, ça serait passé ?





Ça passera pas, pour un certificat à 5€ y’a personne qui contrôle derrière, c’est une procédure 100% automatique, et elle est réglée pour valider le domaine en testant sur cette adresse précisément.

&nbsp;

Quand y’a pas d’humain,&nbsp; pas d’erreur humaine possible.



Toi, tu n’as jamais du commandé de certificats de ta vie :)



Comodo n’a rien a ne se reprocher (d’ailleurs le titre de l’article n’a pas forcement été bien choisi…).

Pour les SSL “bas de gamme”, chez la plupart des fournisseurs, il est possible de valider la propriété du domaine via DNS, url ou mail. Pour valider par email, il y a une liste pré établie, avec en plus en général, les addresses qui sont dans le whois.



C’est uniquement de la faute de Microsoft qui n’a pas bloqué toutes ces adresses mails.



Après on peut remettre en cause&nbsp;tout le processus de validation des SSL, mais de le faire de façon totalement automatisée permet aux particuliers et aux petites entreprises d’avoir des certificats pour leurs sites web rapidement et sans avoir à (trop) se ruiner…