L’intrusion dont a été victime VeriSign

« L’entreprise, en tant qu’opérateur d’infrastructures critiques, est fréquemment ciblée et fait face à un taux d’attaques élevé. Celles-ci prennent les formes  les plus sophistiquées, telles que les attaques de type APT (Advanced Persistent Threats) et « Zero-hour », ce qui signifie que la menace n’est compilée qu’au moment de sa mise en circulation, ce qui rend quasiment impossible le fait d’anticiper ces attaques et de se protéger contre elles ».

Selon un article de Joseph Menn pour Reuters, VeriSign Inc a subi plusieurs piratages en 2010.

Ces informations sont disponibles dans le rapport de la SEC Américaine (« Securities and Exchange Commission ») d’octobre 2011. VeriSign avait en effet déclaré qu’en 2010  « Elle avait été victime d’attaques réussies contre son réseau interne au cours desquelles un accès aux informations avait été obtenu sur une petite partie de ses ordinateurs et serveurs. Nous avons enquêté et pensons que ces attaques n’ont pas compromis les serveurs  de notre réseau concernant le système des noms de domaines (« DNS ») ».

Il est rassurant de penser qu’il n’y a pas eu d’intrusion au niveau de leurs serveurs supportant leur DNS (qui garantit que les personnes accèdent à la bonne adresse IP lorsqu’elles tapent une URL et qui traite jusqu’à 50 milliards de requêtes par jour), mais le fait que cette possibilité ne soit pas totalement écartée suffit à installer un doute. Il faut encore attendre pour avoir une évaluation complète des incidents.

Dans un rapport présenté au Sénat des Etats-Unis, James Clapper, Directeur des renseignements américains, qualifie les failles de sécurité connues en 2011, concernant ces certificats, de « menace sur l’une des technologies les plus fondamentales utilisées pour sécuriser les communications en ligne et les transactions sensibles, telles que les services bancaires ». En effet, si le processus SSL était corrompu, il serait alors possible de créer facilement un certificat de la Bank of America, qui serait accepté par tous les navigateurs du monde, portant ainsi les attaques de phishing à un tout autre niveau.

Prenons l’exemple de Stuxnet (découvert en juin 2010). Nous savons que des certificats volés ont été utilisés pour diffuser des logiciels malveillants sophistiqués. Une signature numérique valide est requise de manière obligatoire par les systèmes d’exploitation 64 bits lorsqu’un logiciel critique (tel qu’un pilote en mode kernel ou un rootkit) essaie de s’installer. On estime que l’industrie antivirus a découvert Stuxnet plus d’un an après le début des infections de PC car ce rootkit était considéré comme légitime de par son certificat numérique valide.

Le même rapport précise également : « L’entreprise, en tant qu’opérateur d’infrastructures critiques, est fréquemment ciblée et fait face à un taux d’attaques élevé. Celles-ci prennent les formes  les plus sophistiquées, telles que les attaques de type APT (Advanced Persistent Threats) et « Zero-hour », ce qui signifie que la menace n’est compilée qu’au moment de sa mise en circulation, ce qui rend quasiment impossible le fait d’anticiper ces attaques et de se protéger contre elles ».

La dernière phrase est sans doute la plus inquiétante. VeriSign est l’une des principales autorités de confiance des entreprises au niveau mondial donnant accès aux internautes à plus de la moitié des sites Web dans le monde en toute sécurité. Un certificat émis par VeriSign sera automatiquement accepté à la fois par les navigateurs et les systèmes d’exploitation. Ce type d’incident rend quasiment inutile toute la sécurité fournie par les systèmes d’exploitation 64 bits.

Il est utile également de se remémorer ce qui est arrivé à DigiNotar l’an dernier. De faux certificats avaient été émis et utilisés par des cyber-escrocs afin de se faire passer pour Gmail et d’autres services critiques. Ce qui  est inquiétant c’est de remarquer que les attaquants aient pu générer des certificats de signature numérique valides pour des entreprises plus petites, moins connues, et les utiliser pour signer des malwares. Avant que VeriSign ne se rende compte que les entreprises en question n’avaient pas requis de certificats, de dangereux rootkits pourraient être en circulation depuis bien longtemps.

DigiNotar a fait faillite moins d’un mois après avoir réalisé l’étendue de la faille de sécurité. Les conséquences d’un piratage contre le leader mondial des certificats de sécurité restent à établir.

A ce stade, il nous faut globalement plus d’informations pour savoir ce qui s’est exactement produit lors de ces intrusions successives, et quelles données ont été dérobées. Bien que  nous considérions que le piratage de grandes entreprises a débuté en janvier 2011, avec l’intrusion qui a touché HBGary, il apparaît désormais assez clairement que cette tendance remonte à une période antérieure. De fait, même si les incidents chez VeriSign remontent à 2010, ils n’ont été signalés à la direction qu’en 2011.

En conclusion, le pire scénario serait : plusieurs attaques de phishing avec des certificats valides que les navigateurs considéreraient comme légitimes. Cela pourrait générer une grande quantité de données exploitables à des fins lucratives. Gardons toutefois en tête qu’une solution antiphishing fiable pourra vous protéger contre ce type d’attaques.

Pour retrouver Bitdefender en ligne et rester au fait de l’actualité des e-menaces, inscrivez-vous à nos fils d’information :

La communauté MalwareCity

Flux RSS

Facebook

Twitter