20 dollars pour récupérer la gestion du .MOBI : derrière l’amusement, un réel danger

C’est une histoire abracadabrante que raconte la société de sécurité watchTowr Labs. Les chercheurs ont en effet réussi à s’emparer de l’ancienne adresse utilisée pour les requêtes WHOIS du domaine de premier niveau MOBI. La manipulation, qu’ils décrivent comme très simple, met en évidence ce type de danger pour les TLD (top-level domains).

Les chercheurs de watchTowr Labs racontent comment, durant la conférence Black Hat du mois dernier, ils se sont lancé un petit défi pour « s’amuser ». Ils avaient remarqué il y a plusieurs années que le domaine du serveur WHOIS pour le TLD .MOBI avait changé : il était passé de whois.dotmobiregistry.net à whois.nic.mobi. En décembre 2023, le domaine dotmobiregistry.net avait même été abandonné et n’avait pas été repris.

Les serveurs WHOIS gèrent les requêtes whois, qui permettent d’obtenir des renseignements sur un nom de domaine. On peut notamment savoir si un nom de domaine est actif (site web, email, redirection…), ses dates de création et d’expiration, le statut DNSSEC, le registraire (ou bureau d’enregistrement) ou encore le titulaire, c’est-à-dire la personne (physique ou morale) à l’origine de l’enregistrement et détenant les droits sur le nom de domaine.

Les chercheurs avaient travaillé peu avant sur les failles des clients WHOIS et la manière dont ils analysent les réponses envoyées par les serveurs WHOIS. Ils cherchaient notamment des vulnérabilités à exploiter directement, sans passer par des attaques de type MITM (man-in-the-middle, ou attaque de l’homme du milieu).

Patatras !

Armés d’une carte de crédit, ils ont donc dépensé 20 dollars pour acheter le domaine dotmobiregistry.net, vacant depuis des mois. Il s’agissait d’un simple test. Les chercheurs pensaient alors que le domaine n’était probablement plus utilisé que par certains vieux outils. Par exemple, phpWHOIS, qu’ils comptaient tester pour exploiter une faille connue depuis 2015 et permettant une exécution de code arbitraire à distance. Mais ils se trompaient.

Ils ont créé un serveur WHOIS avec le nom d’hôte whois.dotmobiregistry.net, dans l’idée d’examiner d’éventuelles requêtes qui lui seraient envoyées. Et non seulement ils en ont reçu, mais dans des proportions qu’ils n’imaginaient pas : en moins d’une semaine, ils avaient reçu 2,5 millions de requêtes provenant de plus 135 000 systèmes uniques. Les données s’enregistraient dans une petite base de données SQLite.

Parmi les requêtes, les chercheurs ont repéré divers serveurs de messagerie pour les entités .GOV et .MIL. Les adresses .GOV appartenaient aux États-Unis, à l'Argentine, au Brésil, au Pakistan, à l'Inde, au Bangladesh, à l'Indonésie, au Bhoutan, aux Philippines, à Israël, à l'Éthiopie et à l'Ukraine, a indiqué watchTowr Labs à The Register. Selon les chercheurs, ces entités interrogent « vraisemblablement » ce serveur pour des besoins en emails. C’était aussi le cas pour des sociétés de cybersécurité et autres, comme VirusTotal, URLSCAN et Group-IB. Toutes les structures concernées ont été averties.

Ces requêtes provenaient également de plusieurs registraires tels que domain.com ou GoDaddy. D’autres provenaient de sites ayant des fonctions de WHOIS comme who.is, smallSEOtools ou encore webchart.org.

De surprise en surprise

Le 1^ᵉʳ septembre, les chercheurs prennent conscience d’un autre problème, plus important celui-là : « de nombreuses autorités de certification responsables de la délivrance de certificats TLS/SSL pour des domaines tels que "google.mobi" et "microsoft.mobi", via le mécanisme "Domain Email Validation" […], utilisaient notre serveur WHOIS pour déterminer les propriétaires d'un domaine et l'endroit où les détails de vérification devaient être envoyés ».

Partant de ce constat, ils ont créé un PoC (proof-of-concept) avec l’autorité de certification GlobalSign. Ils se sont rendu compte que dans le cas du domaine microsoft.mobi, GlobalSign analysait les réponses fournies par le serveur WHOIS qu’ils avaient monté. Mieux – ou pire – l’autorité présentait « [email protected] » comme l’adresse email officielle à contacter. En d’autres termes, ils avaient « piraté » le processus de l’autorité de certification pour l’ensemble du domaine de premier niveau .MOBI.

Derrière l’amusement, le danger

Outre bien sûr le risque inhérent au détournement d’un processus de certification, d’autres dangers apparaissent comme autant de conséquences. Pour reprendre le cas du domaine microsoft.mobi, il devient par exemple possible de cosigner des logiciels malveillants en tant que Microsoft. Le danger, de fait, devient énorme, puisque la signature permet de passer des sas de sécurité, notamment le contrôle des certificats à l’exécution, un type de mécanisme que l’on retrouve dans de nombreux systèmes.

Les chercheurs indiquent ne pas l’avoir fait et souhaitent surtout avertir du risque. « Notre capacité à délivrer des certificats pour microsoft.mobi et google.mobi entre donc dans l'espace de jeu des États-nations qui veulent utiliser cette capacité pour intercepter le trafic internet à l'échelle d'un pays, jusqu'à cibler des utilisateurs individuels pour espionner leurs communications », a indiqué Benjamin Harris, CEO et fondateur de watchTowr, à The Register.

La mention des États-nations est importante. Les chercheurs se disent en effet « très conscients » qu’elles ont régulièrement ciblé les autorités de certification au cours des dix dernières années. Or, comme ils l’indiquent dans leurs résultats : « Si nous l’avons fait, n’importe qui d’autre peut le faire ».

En outre, les requêtes elles-mêmes peuvent être analysées pour connaître les clients WHOIS utilisés. Le travail initial des chercheurs portant sur les vulnérabilités allait justement dans ce sens. « Maintenant que nous contrôlons un serveur WHOIS, nous sommes en mesure de "répondre" au trafic envoyé par toute personne qui n'a pas mis à jour son client pour utiliser la nouvelle adresse », précisent-ils dans leur rapport.

Qu’en déduire ?

Les chercheurs, malgré un ton humoristique à travers tout le billet, semblent surtout surpris par l’ampleur de leurs découvertes.

« Nous avons publié ce billet de blog pour partager initialement notre processus visant à rendre exploitable ce qui ne l'est pas et pour mettre en lumière l'état de l'infrastructure existante et les problèmes croissants associés aux domaines abandonnés », indiquent-ils ainsi. « Mais par inadvertance, nous avons braqué les projecteurs sur les failles triviales persistantes dans l'un des processus et l'une des structures de chiffrement les plus vitaux de l'internet : les autorités de certification TLS/SSL ».

La subversion du processus de vérification par l’autorité de certification est, selon eux, la conséquence la plus grave de leurs découvertes. Ils assurent cependant que de nombreuses autres possibilités s’offraient à eux, allant « de la corruption de la mémoire à l'injection de commandes ». Surtout, ils constatent qu’aujourd’hui encore, une grande partie de l’infrastructure Internet continue à envoyer des requêtes WHOIS au serveur mis en place, au lieu de se tourner vers les serveurs légitimes.

« Nos recherches ont démontré que la confiance accordée à ce processus par les gouvernements et les autorités du monde entier devrait, à notre avis, être considérée comme mal placée à ce stade », concluent les chercheurs.