Quand vous vous connectez sur un site de commerce électronique, vous faites probablement attention au pictogramme qui s’affiche à côté de l’URL. S’il s’agit d’un cadenas fermé, éventuellement de couleur verte, c’est théoriquement un bon signe. Cela veut dire que le serveur Web dispose d’un certificat de sécurité en bonne et due forme, délivrée par une autorité de certification reconnue par le navigateur (ou par l’administrateur système).
Parfois, le nom de l’entreprise est également affiché à côté du cadenas. Ce qui veut dire qu’il s’agit d’un certificat à validation étendue (Extended Validation, EV). Celui-ci n’est délivré par les autorités de certification qu’après des vérifications approfondies sur l’identité et la nature de l’entreprise. Sur le Web, c’est le nec plus ultra de la sécurité des connexions.

Mais quelle confiance peut-on vraiment avoir dans ces certificats ? La question se pose avec la publication d’une étude sur la vente de certificats TLS frauduleux. Celle-ci a été sponsorisée par l’éditeur Venafi, mais réalisée par une groupe d’universitaires qui ont sillonné le Dark Web pour analyser la situation.
Résultat : les certificats TLS font désormais partie intégrante des dispositifs de fraude vendus sur les places de marché illégales telles que Dream Market, Wall Street Market ou Galaxy 3.
Pour moins de 200 dollars, n’importe qui peut avoir une fausse boutique en ligne destinée à arnaquer les internautes. Les offres sont totalement packagées. La fourniture d’un certificat TLS et d’un nom de domaine « vieilli » – i.e. qui semble exister depuis longtemps sur la Toile – font partie des services standards.

Les pirates qui veulent aller plus loin peuvent même avoir des certificats à validation étendue. Celles-ci sont proposées sur la place de marché « BlockBooth » pour un tarif à partir de 1 300 dollars.
A ce prix-là, toute la paperasse est prise en charge par le vendeur : création d’une entreprise bidon avec numéro d’identification international (DUNS) et génération d’un certificat EV issu par l’autorité de certification Comodo. Si le niveau de sécurité EV n’est pas requis, le même vendeur se propose également de fournir des certificats d’autres autorités comme Symantec, GoDaddy ou Digicert. Il suffit juste de demander.

Les chercheurs ne savent pas comment ces certificats sont créés. Les vendeurs disposent-ils d’une clé secrète pour générer directement ces certificats ? Disposent-ils de relais au sein de ces autorités ? Ont-ils développé une méthode qui permet de contourner les étapes de vérification et de validation ? L’étude ne le dit pas.

Au-delà de ces offres « standards », le Dark Web permet également de mettre la main sur des certificats volés. « Quand une entreprise se fait pirater, ses certificats TLS peuvent ensuite se retrouver en vente sur le Dark Web. C’est ce qui s’est passé, par exemple, à l’occasion du piratage de Sony Entertainment », nous explique Christophe Culine, responsable équipe commerciale Venafi.
En somme, vérifier les certificats quand on se connecte sur un site e-commerce, c’est bien. Mais ce n’est malheureusement plus suffisant pour être rassuré.