Les bugs logiciels et les interprétations erronées des normes sont au cœur de la plupart des cas de certificats SSL délivrés de manière incorrecte, comme le montre une étude universitaire. Selon les chercheurs, ces problèmes sont à l’origine de 42 % des incidents connus.
L’étude a été menée par une équipe de la School of Informatics and Computing de l’université Bloomington en Indiana aux États Unis. Les chercheurs ont examiné 379 cas de certificats SSL délivrés par erreur, sur un total de plus de 1 300 incidents connus. Les universitaires ont rassemblé des données sur ces incidents auprès de sources publiques telles que l’outil Bugzilla de Mozilla et les forums de discussion Google Group pour les équipes de sécurité des navigateurs Firefox et Chrome.
Le but de cette étude était de déterminer dans quelle mesure les autorités de certification respectaient les normes du secteur et quelle était la cause la plus fréquente de certificats SSL erronés.
Les autorités de certification (CA) sont des organisations qui vendent ou fournissent des certificats SSL. Ces certificats SSL sont ensuite utilisés pour chiffrer les communications entre clients et serveurs sous la forme de connexions HTTPS.
L’activité des autorités est régie par le forum CA/B, un groupe industriel regroupant des fabricants de navigateurs et de systèmes d’exploitation, et des autorités de certification elles-mêmes. Le forum CA/B publie et met à jour les directives de l’industrie qui dictent les bonnes pratiques en matière d’émission de certificats SSL.
Au fil des années, les CA ont commis de nombreuses erreurs, émettant des certificats sans respecter certaines de ces règles. Dans certains cas, des autorités de certification ont émis des certificats SSL qui ont été utilisés pour lancer des attaques de type “Man-in-the-Middle” (MitM) et intercepter le trafic HTTPS. D’autres incidents ont été utilisés pour des attaques de malware. Les autorités de certification ont parfois délivrés des certificats sans suivre les procédures standard tout simplement à cause d’erreur humaines, d’un accident ou pour maximiser leurs profits.
Certaines autorités de certifications ont également antidaté des certificats pour éviter les délais de dépréciation. D’autres ont émis des certificats SSL sans vérifier que l’acheteur était une personne ou une entreprise légitime; d’autres ont émis des certificats SSL qui ont utilisé des algorithmes de chiffrement trop faibles ou non conformes.
Les causes du problème
Mais selon l’équipe de l’université Bloomington, la plupart des incidents de certificats SSL mal délivrés ont été causés par des bugs logiciels. Sur les 379 cas analysés, 91 (24%) avaient été causés par des bugs logiciels sur l’une des plateformes logicielles de l’autorité, ce qui avait conduit les clients à recevoir des certificats SSL non conformes.
La deuxième cause la plus fréquente était que les autorités de certification avaient mal interprété les règles du forum CA/B, ou ignoraient qu’une règle avait changé. Cela représentait 69 cas ou 18% de tous les incidents de certificats SSL émis de façon incorrecte.
Le premier cas d’origine malveillante de mauvaise utilisation de SSL n’est que la troisième cause d’incidents. Les universitaires ont déclaré que dans 52 cas, soit 14% de tous les incidents analysés, les CA ont fait passer les profits avant le respect des normes édictées par le secteur.
“Parmi les exemples constatés, on peut citer le cas de certains certificats SHA-1 antidatés pour échapper à leur date d’expiration, le fait de faire payer la révocation des certificats numériques compromis, les certificats vendus à des fins d’attaques Man-in-the-Middle (MITM), et la délivrance potentielle (ou effective) de certificats malveillants “, ont déclaré des chercheurs “Il va sans dire que cette catégorie regroupe les incidents les plus alarmants concernant les comportements anormaux ou le manque d’éthique des CA.”
La quatrième cause en importance était l’erreur humaine, avec 37 cas (10% du total).
Les erreurs opérationnelles au cinquième rang étaient dues à des procédures internes défectueuses d’une autorité de certification, plutôt qu’à une erreur logicielle ou humaine. Cela représentait 29 cas ou 8% de tous les cas.
La sixième cause fondamentale était la “vérification de requête non optimale”, terme décrivant des erreurs de vérification de l’identité d’un client. Ces erreurs permettent généralement à un client non autorisé d’usurper l’identité d’une autre entité. On peut par exemple imaginer un auteur de programme malveillant obtenant un certificat SSL pour une société légitime. Les chercheurs ont découvert 24 incidents de ce type, représentant 6% de tous les incidents.
Les “contrôles de sécurité incorrects” constituent la septième cause fondamentale des certificats SSL erronés. Cette catégorie générique incluait tous les cas où des autorités de certification étaient piratées ou perdaient le contrôle de leur infrastructure, ce qui pouvait permettre à un tiers d’obtenir des certificats SSL.
Parmi les autres causes, on peut citer la modification des exigences de base (lorsque les autorités de certification tardent à appliquer un changement de règle édicté par le forum CA/B) , les problèmes d’infrastructure (lorsque les autorités de certification font face à des serveurs indisponibles, des réseaux défectueux ou des problèmes matériels, mais qu’elles émettent quand même un certificat); et des contraintes organisationnelles (lorsque les CA agissent sous le coup de régulations gouvernementales strictes incompatibles avec les règles du forum CA/B).
Les mauvais élèves
Sur la base des données compilées par les chercheurs, les autorités de certification les plus problématiques comprenaient StartCom, WoSign, DigiCert, PROCERT, Comodo (aujourd’hui Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma et SwissSign.
Les chercheurs ont également déclaré que “les dix autorités de certification liées au plus grand nombre d’incidents avaient accumulées à elles seules la moitié du total”, ce qui montre que la présence de certains acteurs étaient au cœur des problèmes rencontrés par l’industrie.
Ils ont suggéré que ces organisations “devraient être sévèrement pénalisées afin de les dissuader, car nous avons constaté qu’il s’agit d’un comportement omniprésent parmi les autorités. » Cet article ne fait que résumer le travail des chercheurs.
Pour des analyses plus approfondies, veuillez vous reporter au livre blanc de 45 pages de l’équipe de recherche, intitulé “A Complete Study of P.K.I. (PKI’s Known Incidents)“.
Comments