Sponsorisée par Venafi et menée par les chercheurs du Groupe de recherche factuelle sur la cybersécurité de l’école d’études politiques Andrew Young de l’Université d’État de Géorgie et de l’Université de Surrey, elle révèle le nombre grandissant de sites commercialisant des certificats TLS à l’unité ou associés à un vaste choix de crimeware. Utilisés conjointement, ils fournissent aux cybercriminels des solutions machine-identities-as-a-service leur permettant d’usurper des sites Web, intercepter des communications chiffrées, perpétrer des attaques « man in the middle » et dérober des données sensibles.
« L’un des points les plus intéressants de cette étude est l’association des certificats TLS à des services connexes, notamment des services de design Web, grâce auxquels les attaquants obtiennent un haut degré de crédibilité et de confiance », affirme le chercheur en sécurité et auteur du rapport Dr David Maimon, professeur associé et directeur du Groupe de recherche factuelle sur la cybersécurité. « J’ai été surpris de découvrir à quel point il est simple et bon marché d’acquérir des certificats à validation renforcée ainsi que les documents permettant de créer des sociétés fictives sans aucune information de vérification. »
Les principales conclusions de l’étude sont les suivantes :
- Parmi les boutiques Tor observées, cinq proposent régulièrement des certificats SSL/TLS ainsi que de nombreux services et produits rattachés.
- Un certificat est mis à prix de 260 à 1 600 $ en fonction de son type et de l’étendue des services supplémentaires.
- Les chercheurs ont découvert la présence de certificats à validation renforcée packagés avec des services web malveillants tels que d’anciens domaines indexés par Google, un service après-vente, des services de design web ainsi qu’une intégration avec différents processeurs de paiement dont Stripe, PayPal et Square.
- Au moins un vendeur de BlockBooth prétend pouvoir émettre des certificats d’autorités de certification renommées, accompagnés de la documentation d’une société falsifiée comprenant des numéros DUNS. Ce package de produits et services permet aux attaquants de passer de manière crédible pour une entreprise britannique ou américaine réputée pour moins de 2 000 $.
Une recherche représentative de ces cinq marchés en ligne a retourné 2 943 mentions pour le terme « SSL » et 75 pour « TLS ». En comparaison, « ransomware » et « zero days » retournent respectivement 531 et 161 mentions. Il a par ailleurs été observé que certains sites tels que Dream Market semble se spécialiser dans la vente de certificats TLS en proposant effectivement des produits machine-identity-as-a-service.
En outre, les chercheurs ont découvert que les certificats sont souvent packagés avec d’autres crimeware, dont des ransomware.
« Cette étude met clairement en évidence l’omniprésence de la vente de certificats TLS sur le Dark Web », indique Kevin Bocek, vice-présent du département de sécurité et d’analyse des menaces de Venafi. « Les certificats TLS jouant le rôle d’identités de machine de confiance font manifestement partie intégrante de la boîte à outils des cybercriminels, tout comme les bots, les ransomware et les spyware. Il convient de réaliser des recherches plus poussées à ce sujet, mais les entreprises doivent s’inquiéter du fait que les certificats visant à garantir et maintenir la confiance et la confidentialité sur Internet sont devenus des armes vendues aux cybercriminels comme de simples marchandises. »
Conception et méthodologie de l’étude Pour les besoins de l’étude, les chercheurs se sont penchés sur les marchés en ligne et les forums de hackers du réseau Tor, d’I2P et de Freenet d’octobre 2018 à janvier 2019 en recherchant les annonces proposant des certificats TLS corrompus, contrefaits et falsifiés. Durant cette période, l’équipe de recherche a effectué 16 recherches par semaine et découvert près de 60 pages pertinentes sur les marchés en ligne de Tor et 17 sur I2P. Les chercheurs ont étudié les annonces en détail et parfois contacté les vendeurs afin de mieux comprendre les produits et les services qu’ils proposaient.
À propos de Venafi Venafi est un acteur majeur du marché de la sécurité dans le domaine de la protection de l’identité des machines, des connexions et des communications sécurisées entre machines. Venafi protège l’identité des machines en orchestrant la gestion des clés cryptographiques et des certificats numériques pour les usages SSL/TLS, IoT, mobiles et SSH. Venafi fournit une visibilité complète des identités des machines et des risques associés dans l’entreprise au sens large – sur site, mobile, cloud et IoT – à l’échelle et la vitesse d’une machine. Venafi met en œuvre des processus avancés d’automatisation permettant de réduire les menaces pour la sécurité et les indisponibilités de services, liées aux identités faibles, obsolètes ou compromises des machines tout en préservant le flux d’informations à destination de machines fiables et en interdisant la communication avec des machines non fiables.
Titulaire de plus de 30 brevets, Venafi fournit des solutions innovantes aux entreprises du classement Global 5000 les plus exigeantes et sensibilisées à la sécurité, notamment les cinq premières compagnies d’assurance américaines, les cinq premières compagnies aériennes américaines, quatre des plus grandes banques des États-Unis, du Royaume-Uni et d’Afrique du Sud et quatre des cinq acteurs majeurs de la distribution aux États-Unis.
À propos du Groupe de recherche factuelle sur la cybersécurité de l’école d’études politiques Andrew Young de la Georgia State University Les crimes cyberdépendants sont désormais au cœur des préoccupations des institutions gouvernementales, commerciales et financières du monde entier ainsi que des particuliers qui se servent de l’informatique et d’Internet pour leurs loisirs, leurs achats et leur travail. De nombreuses études ont examiné et proposé des mesures visant à stopper leur développement. Cependant, il n’a pas encore été confirmé que les interventions les plus courantes peuvent empêcher les cybercriminels de perpétrer des crimes tels que le piratage, la diffusion de malware et le lancement d’attaques DDoS. Le Groupe de recherche factuelle sur la cybersécurité de l’école d’études politiques Andrew Young de la Georgia State University s’efforce de produire des preuves empiriques et d’examiner de manière systématique les études empiriques existantes portant sur l’efficacité potentielle des politiques et des outils de cybersécurité actuels quant à la prévention du développement et de la progression des crimes cyberdépendants.
