Pendant des années, nous avons appris à toujours contrôler la présence d’un cadenas vert dans la barre d’adresse des sites les plus sensibles: eBay, Amazon, votre banque, etc. Le cadenas SSL en vert devenait le signe d’une connexion chiffrée et sécurisée, empêchant la capture des informations sensibles transitant dans les tuyaux.

Beaucoup d’entre nous ont aussi pris ce cadenas comme une assurance d’être sur le bon site, à la bonne adresse et ainsi interagir en totale confiance sur le site de destination.

Oui mais voilà, toutes ces bonnes habitudes sont maintenant à revoir. Ces cadenas ont endormi notre vigilance et pourtant, ils sont devenus assez trompeurs.

Depuis l’annonce de Google souhaitant sécuriser davantage le web en favorisant dans les résultats de son moteur de recherche tous les sites vous accueillant en HTTPS au lieu du non chiffré HTTP, les certificats SSL ont eu le vent en poupe. Et notamment avec l’initiative de Let’s Encrypt de proposer des certificats gratuitement. Jusqu’à présent, un certificat basique pouvait coûter de 30 à 100€ par an pour un site, filtrant ainsi naturellement les arnaqueurs du web.

Mais malheureusement, cette gratuité, ainsi qu’une facilité d’acquisition et d’installation de certificats SSL a attiré les malfrats avec leurs nombreuses techniques d’hameçonnage ou phishing.

Et c’est ainsi qu’il va falloir désormais être encore plus vigilant dès la réception du moindre email provenant de ces géants du net: EBay, Paypal, Apple, Amazon, American Express, Chase Bank, Microsoft, Google, Bank of America pour les américains, mais aussi nos banques françaises de plus en plus concernées.

En images, voilà ce que ça donne:

Avant, un phishing se reconnaissait surtout par son absence de connexion SSL, représentée par l’absence de cadenas SSL dans la barre d’adresse.

Avec l’arrivée de certificats SSL trop facilement accessible aux délinquants du web, le cadenas vert s’allume et peut tromper votre vigilance.

Remarquez au passage la barre d’adresse indiquant clairement www.paypal.com mais suivi d’un tiret au lieu d’un slash (/) qui là encore bernera les moins informés.

Voici enfin le vrai site.
Les sites importants arborent un cadenas précisant le nom du propriétaire du certificat, comme ici Paypal, Inc. mais ce sont généralement des certificats très coûteux et il est à craindre que la plupart des sites n’investissent pas autant dans un certificat, surtout maintenant qu’ils sont devenus si accessibles.

 

Vers la fin 2016, Let’s Encrypt a délivré quelques 400 certificats avec le nom « paypal » contenu dans le nom de domaine. Aujourd’hui, c’est plus de 950 après notre récent contrôle. Une progression exponentielle qui fait craindre le pire. Le phishing était déjà une plaie, mais cette nouvelle situation risque bien d’être catastrophique.

Nous pourrions imaginer que les équipes de Let’s Encrypt filtre mieux ses nouvelles demandes de certificats, mais sur quelles bases légitimes pourraient-elles mettre en place ces filtres ? Certains noms génériques comme une Apple sont difficile à restreindre (1 040 dépôts au moment de la rédaction de cet article).

Il faudra certainement bon nombre de plaintes, de témoignages et de volontés pour faire avancer les choses, alors d’ici là, soyez très vigilants sur vos sites les plus sensibles. Et si vous détectez des abus, n’hésitez pas à les rapporter en utilisant l’une de ces 2 adresses:

  • cert-prob-reports@letsencrypt.org
  • security@letsencrypt.org