Certificats : quand Comodo se fait berner par un alias Outlook.com
Simple comme un alias
Un utilisateur finlandais a pu, à l’aide d’un simple alias créé depuis Outlook.com, faire une demande de certificat de sécurité auprès du fournisseur Comodo. Non seulement il a pu l’obtenir, mais il n’a dû répondre à aucune question pour y parvenir. Le certificat a depuis été révoqué, mais souligne encore une fois la sécurité perfectible autour de ces petits fichiers si cruciaux.
Les certificats, maillons essentiels de la chaine de sécurité
Un certificat de sécurité agit dans les grandes lignes comme la carte d’identité d’un site web. Il s’agit d’un petit fichier contenant la « preuve » que le site est bien ce qu’il prétend être. Il est obligatoire pour la mise en place de connexions sécurisées et chiffrées via HTTPS par exemple et les utilisateurs devraient se méfier de tout site proposant des achats et qui n’en serait pas équipé. Tous les navigateurs indiquent aujourd’hui quand la connexion est sécurisée, le plus souvent en vert, juste avant que ne commence l’adresse du site.
Mais les certificats reposent sur un système d’attribution perfectible dont les failles ont donné lieu à de gros soucis de sécurité par le passé. On se souvient en particulier des attaques contre DigiNotar et Comodo, qui avait abouti à des centaines de certificats générés de manière authentique, mais pour le compte de pirates. De tels certificats peuvent alors être utilisés pour des sites malveillants, mais qui, pour l’utilisateur, apparaîtront légitimes. Une arme efficace dans les tentatives de phishing pour amener l’internaute à donner des informations très sensibles. L’attaque avait d’ailleurs mené DigiNotar à la banqueroute. Plus récemment, on a retrouvé dans le malware Destover un certificat dérobé lors de la fameuse attaque contre Sony Pictures. Comodo était également l'autorité qui avait fourni le certificat à SuperFish dans l'affaire qui a entouré Lenovo le mois dernier.
Un utilisateur se fait passer pour Microsoft et obtient un certificat au nom de l'éditeur
Et voilà que Comodo se retrouve une nouvelle fois impliqué dans un problème de certificat. Un responsable informatique finlandais a en effet remarqué en janvier que le webmail de Microsoft, Outlook.com, permettait de créer des alias de manière assez libre (la fonctionnalité n’est pas neuve). Il s’est alors demandé s’il pouvait créer une adresse ayant une apparence « officielle ». Dont acte : l’alias [email protected] lui a été attribué.
Fort de cette nouvelle adresse (qui ne fait finalement que renvoyer vers son adresse email centrale), il a réalisé une demande de certificat auprès de Comodo et au nom de Microsoft. L’adresse ayant paru suffisamment officielle, aucune question n’a été réclamée selon Tivi, qui rapporte l’information. Visiblement surpris par le résultat, le responsable informatique a alors contacté Microsoft et l’autorité finlandaise de régulation des communications, sans résultats.
Puis Microsoft a semblé tout à coup se réveiller et a pris la décision, jeudi 12 mars, de bloquer son compte email. S’agissant de son compte principal, il ne lui a d’ailleurs plus été possible de se servir de son Lumia, ni de son compte Xbox, ce qui en dit long encore une fois sur l’importance de ce type d’identification centralisée.
Les préfixes tendancieux ont été bloqués
Interrogée par Tivi, la firme a répondu que les informations transmises par le responsable informatique étaient considérées « très sérieusement ». Le certificat a été révoqué et la liste de ceux acceptés par les Windows Server a été mise à jour pour en tenir compte. Par ailleurs, Microsoft invite l’ensemble des entreprises proposant des alias à refuser systématiquement tous les préfixes de type admin, administrator, postmaster, hostmaster et webmaster pour les internautes. Une page Technet a été ajoutée pour expliquer que le problème est résolu, tout en précisant qu'il n'était valable que pour le domaine @live.fi, ce qu'il est difficile de vérifier.
Nous avons d’ailleurs voulu tenter la manipulation sur Outlook.com dans sa version française. Nous avons donc tenté tous les mots de la liste, ainsi que des variantes dans la langue de Molière, sans résultats. Le webmail indique systématiquement que l'alias « n’est pas disponible ». Pour vérifier que l’adresse n’était pas tout simplement déjà utilisée par un autre internaute, nous avons tenté de créer l’alias « [email protected] ». Cette fois, il nous a été répondu qu’il n’était « plus disponible », marquant donc une différence très nette. Ce qui signifie clairement que les préfixes ont été bloqués.
Il reste cependant étonnant que Microsoft n’ait pas pensé à bloquer ces préfixes avant, et encore plus surprenant qu’aucune vérification plus intensive n’ait été réalisée chez Comodo.
« Ce n'est pas une surprise »
Nous avons eu l'occasion de nous entretenir avec Stéphane Bortzmeyer, ingénieur système et réseaux à l’Afnic (Association française pour le nommage Internet en coopération). Pour lui, la situation n’a rien d’étonnant : « c’est une faiblesse connue de longue date des certificats de sécurité ». Il nous explique en effet qu’en obtenir est très simple et répond à un processus radicalement différent de la gestion des noms de domaines par exemple : « Ce sont des sociétés privées qui ont avant tout des impératifs commerciaux. Plus elles vendent de certificats, plus elles gagnent d’argent ».
De fait, il existe des centaines d’entreprises capables de générer des certificats, et toutes n’ont pas le même niveau d’exigence et de vérification de l’identité. « Le problème est simple : même si Comodo avait refusé de donner le certificat au Finlandais, il aurait suffi qu’il aille voir ailleurs ». Une sorte de nivellement par le bas ? « Si les clients se fâchent parce qu’ils trouvent les routines de vérification trop exigeantes, ils se tourneront vers d’autres entreprises où on ne les embête pas autant ».
Il faudrait, pour sortir de cette situation, que des solutions puissent fédérer une majorité d’acteurs impliqués pour avoir du poids. Des solutions qui seraient acceptées par tous, sans parler des travaux nécessaires sur l’architecture actuelle et le financement de ce vaste chantier. Mais, comme nous l’indique Stéphane Bortzmeyer, de telles solutions existent : il faut « simplement arriver à convaincre tout le monde ».
Commentaires (38)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/03/2015 à 20h48
Toi, tu n’as jamais du commandé de certificats de ta vie :)
Comodo n’a rien a ne se reprocher (d’ailleurs le titre de l’article n’a pas forcement été bien choisi…).
Pour les SSL “bas de gamme”, chez la plupart des fournisseurs, il est possible de valider la propriété du domaine via DNS, url ou mail. Pour valider par email, il y a une liste pré établie, avec en plus en général, les addresses qui sont dans le whois.
C’est uniquement de la faute de Microsoft qui n’a pas bloqué toutes ces adresses mails.
Après on peut remettre en cause tout le processus de validation des SSL, mais de le faire de façon totalement automatisée permet aux particuliers et aux petites entreprises d’avoir des certificats pour leurs sites web rapidement et sans avoir à (trop) se ruiner…
Le 19/03/2015 à 18h32
en plus c’est NSAproof
" /> (d’après Wikipedia)
Le 19/03/2015 à 18h35
ça l’est .
Par contre avec gnupg vous arrivez a envoyer des mail aux format html ?
Le 19/03/2015 à 18h39
je ne l’utilise pas, je ne saurai te répondre.
" />
Le 19/03/2015 à 18h51
Le 19/03/2015 à 18h59
« Ce sont des sociétés privées qui ont avant tout des impératifs
commerciaux. Plus elles vendent de certificats, plus elles gagnent
d’argent ».
Mouais, pour avoir pris un certificat SSL récemment chez Commodo (3 mois) ils ont été bien chiants sur les modalités de vérification…
Le 19/03/2015 à 19h02
“Par ailleurs, Microsoft invite l’ensemble des entreprises proposant des alias à refuser systématiquement tous les préfixes de type admin, administrator, postmaster, hostmaster et webmaster pour les internautes”
Bien vu l’aveugle.
Le 19/03/2015 à 19h03
Quelle rigueur dans les test de Vincent ^^
" />
Le 19/03/2015 à 19h33
outlook.fr faudrait que je pense à l’utilisé de temps en temps le mail de mon pc, il risque de rouillé.
" />
Le 19/03/2015 à 19h44
Le 19/03/2015 à 20h04
Parce qu’on ne peut pas se servir d’un Lumia si on n’a pas un compte Ms ?!
Le 19/03/2015 à 20h08
Tout comme tu ne peux pas te servir d’Android sans compte Gmail et d’iPhone sans compte iTunes (pour Apple, je le piffe un peu
" />)
Le 19/03/2015 à 20h09
Mon tel Android marche très bien sans compte Gmail. Quant à l’iPhone, j’en sais rien.
Le 19/03/2015 à 20h09
En même temps il n’y a que Microsoft pour ne pas auto provisionner des “standards” tel que:
et surement d’autre que j’oublie, par contre administrator ou des trucs zarbi cela pas de problème…
Le 19/03/2015 à 20h23
Exact, c’est entièrement la faute de Microsoft ! Ces adresses font parties de la gestion technique d’un domaine et ne doivent pas être attribuées (RFC2142)
J’ai jamais été choqué qu’on me proposes hostmaster pour la validation d’un certificat ou un transfert d’un nom de domaine.
Le 19/03/2015 à 20h28
Arf, je voulais dire compte Google ;)
A moins bien sur d’utiliser des Roms android alternatives (dans tout les cas, l’accès à à Google Play ne doit pas être possible)
Le 19/03/2015 à 20h29
Parce que MS lit les RFC maintenant ?
" />
" />
Le 19/03/2015 à 17h26
Décidément, Comodo c’est pas leur fort les certificats de sécurité. Faudrait pas que ça devienne un habitude.
" />
Le 19/03/2015 à 17h34
Du coup le type n’a pas récupéré son compte Microsoft? Sympa MS…
Le 19/03/2015 à 17h39
Le 19/03/2015 à 17h57
ça n’empêche qu’il a voulu prévenir d’une faille, et qu’il a été honnête.
Bref plutôt que de le remercier, MS lui ferme son compte…
Le 19/03/2015 à 18h17
Avec des guignoles pareils, on aurait presque meilleur temps de faire un réseau de validation de clé public en paire à paire comme GPG.
Le 19/03/2015 à 20h53
Pas sur Nexus 5 en v5.1 si tu veux configurer les emails/contacts
Le 19/03/2015 à 21h11
Bon, finalement, ils ont eu chaud au cul et c’est avec pas mal de bol que ce soit trouvé par un “whitehat” (tiens, en parlant de ça, j’ai vu que la trad’ française a encore frappé, le film “blackhat” est devenu “hacker”. Putain!)
Le 19/03/2015 à 23h10
Le 20/03/2015 à 07h25
Sur les WP c’est tout pareil. On peux ignorer de se connecter aux services Microsoft et donc ne pas profiter du store etc
Rien ne nous confirme si Microsoft à continué de bloquer le compte. Le mec à du appeler et est tombé sur une personne qui n’a rien pipé ou l’a pris pour un trou du cul. Les coms étant enregistrées ça à du finir dans les mains d’un autre mec qui à appliquer la méthodes brute … Rien de neuf sous le soleil dans des boites de cette envergure.
Le 20/03/2015 à 08h00
Puis Microsoft a semblé tout à coup se réveiller et a pris la décision, jeudi 12 mars, de bloquer son compte email. S’agissant de son compte principal, il ne lui a d’ailleurs plus été possible de se servir de son Lumia, ni de son compte Xbox, ce qui en dit long encore une fois sur l’importance de ce type d’identification centralisée.
Ah quand même ! Vivent les comptes centralisés ! Un progrès indéniable
Le 20/03/2015 à 08h03
Je suis plus d’accord avec cette affirmation qu’avec la précédente.
Perso, je n’ai utilisé le store de Google qu’une fois. Depuis, il n’est même plus installé sur mon téléphone.
Pour info, j’utilise Android depuis la Nexus One, soit environ 5 ans. Et je m’en porte très bien.
Le 20/03/2015 à 08h17
Pareillement, je suis sur un Android “stock” et je passe majoritairement par F-Droid. Néanmoins, c’est plus réservé à des geeks barbus comme système
Le 20/03/2015 à 08h24
Le 20/03/2015 à 08h50
C’est DNS sec qui permet de lié certificat en enregistrement DNS, non ?
Le 20/03/2015 à 09h24
j’utilises u nmobile android, j’ai volontairement refuser de le lier à un compte gmail/google… Il n’a pas été modifié avec une rom alternative non plus.
il fonctionne très bien au quotidien, mais bien évidement (et c’est logique) je ne peux pas utiliser les services googles (et n’en ai ni l’envie ni le besoin non plus sur cet appareil, donc bon) comme le marché d’applications Play, l’appli gmail, etc.
comment je fais pour installer des applis ? à la main avec les apk
Alors que oui, une fois un androphone lié à un compte gmail, un windows phone lié à un compte live… voient le dit compte bloqué, le mobile est juste inutilisable meme pour les fonctions de base (ou en tou cas une grande partie)
Le 20/03/2015 à 09h34
Le 20/03/2015 à 10h30
Ceux qui disent c’est la faute de Microsoft, vous pariez combien qu’avec une adresse [email protected] ou autre équivalent avec une légère différence, ça serait passé ?
Ce baser sur une NFC pour identifier une personnes en face ?
Génial les mecs vous avez pas trouver moins secure ?
En aucun cas, pour aucun service, (encore plus quand s’est lié à la sécurité) une donnée d’une telle importance ne devrait être délivré de cette manière.
Oui MS est coupable d’avoir laisser la provision de ces addresses libres (ne serait-ce que pour les emails de spam)
NON Comodo n’aurai jamais du renvoyer le certificats en se basant sur ça uniquement, et c’est là où est le plus gros problème. L’erreur de MS à juste mise en avant un gros soucis.
Le 20/03/2015 à 11h18
Le 20/03/2015 à 12h41
Et après ça, il y en a pour dire que CA-cert n’est pas assez fiable… Quand tu vois leur process, tu vois qu’ils doivent juste être plus fiable que tout ces services commerciaux à deux balles.
Le 20/03/2015 à 13h02
Pourtant j’ai lu des critiques assez sévères envers CA-cert et leur processus, justement…
Le 20/03/2015 à 18h53