Journal Predator files : surveillez les logs Certificate transparency sur vos domaines

34
7
oct.
2023

Le 5 octobre, le réseau de médias European Investigative Collaborations a publié les Predator Files (en), documentant la commercialisation d'outil de piratage et de cybersurveillance à destination d'états ou d'autorités pas toujours démocratiques, par l'Alliance Intellexa, animée notamment par l'entreprise française Nexa, le nouveau nom d'Amesys, mise en examen pour complicité de torture suite à la vente de logiciels espions au gouvernement de Mouammar Kadhafi il y a plus de 10 ans maintenant.

Dans le premier document d'analyse (en), le security lab d'Amnesty International présente plusieurs produits vendus par l'alliance Intellexa : des spywares pour téléphones mobiles, des outils d'interception et infection WiFi, GSM ou réseau et des produits d'analyse et de corrélation du trafic à l'échelle d'un pays pour identifier les membres de groupes utilisant des messageries pourtant chiffrées de bout-en-bout (WhatsApp, Signal…).

J'attire votre attention sur le programme Jupiter, qui propose de modifier le trafic chiffré entre une cible (téléphone mobile) et un site internet domestique (du pays dont l'autorité a acquis Jupiter) pour y injecter une attaque permettant de déployer le logiciel espion sur la cible.

La technique est la suivante :
- l'État place un boîtier Jupiter sur le réseau proche du site internet qui servira à l'infection, idéalement juste devant sa passerelle vers internet.
- Le boîtier demande et obtient un certificat TLS, par exemple via let's encrypt, en utilisant le challenge HTTP et en interceptant le trafic entre le serveur de vérification et le site (MitM entre le site et l'autorité de certification).
- Grâce à ce certificat, il peut se faire passer pour le site en question et déchiffrer le trafic entre les utilisateurs et ce site, et ainsi glisser sa charge malveillante.

En tant qu'utilisateur ciblé, il n'est pas possible de se défendre contre cette attaque. Mais en tant que "site internet", il y a 2 mesures à prendre :

  • Empêcher l'attaque : si vous utilisez une autorité de certification qui ne propose pas de délivrer un certificat sur simple requête HTTP, vous pouvez ajouter une information Certification Authority Authorization dans votre zone DNS de façon à interdire à tout autre autorité de certification de délivrer un certificat valide pour votre domaine.
  • Détecter l'attaque : tous les certificats émis étant journalisés dans les logs Certificate Transparency, vous pouvez comparer la liste des certificats émis pour vos domaines avec la liste des certificats que vous avez demandé. S'il y en a en plus, il y a un problème, et s'il est confirmé que ce certificat n'est pas légitime, vous devez demander sa révocation et expatrier votre serveur. À titre personnel, j'utilise certspotter de sslmate pour suivre les journaux Certificate Transparency. Il existe aussi crt.sh par Sectigo, et probablement d'autres.
  • # Flux RSS

    Posté par  . Évalué à 7.

    crt.sh a un flux RSS : https://crt.sh/atom?q=linuxfr.org&deduplicate=Y

    Très pratique.

  • # un doute sur le cert LE

    Posté par  . Évalué à 2.

    Salut,
    J'ai un petit doute sur la faisabilité du certificat letsencrypt par generation en challenge http. Cela signifie avoir contrôle sur le DNS de la cible mais aussi de l'autorité certification. Donc le contrôle du DNS sur lequel est hébergé le site distant.
    A ma connaissance pour MitM avec du déchiffrement SSL, l'attaquant dispose d'une autorité de certification qui doit etre installé sur le client (ou depuis une autorité installée par défaut). C'est ce que l'on voit de plus en plus dans les sociétés avec zscaler. Ou l'on doit installer le certificat racine zscaler utilisé pour le dechiffrement SSL sur le PC pro.
    A moins que j'ai raté une news, mais dire que n'importe qui peut génèré un certificat letsencrypt à ta place, dit que letsencrypt n'est pas sûr.
    Le seul cas serait si la boite est mise devant ton IP publique mais a ce niveau il y a beaucoup de choses de corrompues.
    Sur le fait de suivre les certificats générés sur un domaine que tu gères (ou pas) peut s'averer tres util cependant 🙂

    • [^] # Re: un doute sur le cert LE

      Posté par  . Évalué à 1.

      A mon avis on ne parle pas de let's encrypt, ca m'étonnerait que les gouvernements dont on parle n'aient pas leur propre CA.

    • [^] # Re: un doute sur le cert LE

      Posté par  (site web personnel) . Évalué à 8.

      Le seul cas serait si la boite est mise devant ton IP publique mais a ce niveau il y a beaucoup de choses de corrompues.

      C'est justement ce qui est fait ici : Jupiter est vendu à des États ou autorités militaires, et il est bien précisé que le site servant pour l'infection doit être "domestique", c'est-à-dire physiquement hébergé sur le territoire contrôlé par l'autorité client de l'Alliance Intellexa.

      En effet, c'est une situation où "beaucoup de choses sont corrompues". Le but de ce journal est de signaler que même dans le cas où l'État fait partie de votre modèle de menace, TLS et Certificate Transparency fournissent des outils pour vous défendre.

    • [^] # Re: un doute sur le cert LE

      Posté par  . Évalué à 7.

      Je n'irai pas sur le terrain de la corruption; les services secret des états se permettent bien des choses que l'on réprouve officiellement; et plus récemment, les service anti-terroristes pour nous 'protéger' d'un éventuel attentat. Au vu du dévoiement des services, (DGSE contre quelques salariés d'RTE ayant manœuvré un poste sans causer de dégâts).

      je ne serai pas surpris que de tel éléments soient utilisé chez nous.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # DANE fonctionne pas mal

    Posté par  . Évalué à 3.

    J'utilise l'extension firefox DNSSEC DAne Validator (malheureusement, elle n'est plus disponible sur le site d'extension mozilla). Qui permet d'avertir ou de bloquer l'utilisateur si le certificat n'est pas émis par la CA qui est identifiée dans l'enregistrement dédié du DNS (avec DNSSEC).

    Ça marche bien (testé sur des réseaux équipés du MitM Zscaler par exemple).

    Malheureusement, aucun des navigateurs ne semble vouloir intégrer cette fonctionnalité par défaut.

    • [^] # Re: DANE fonctionne pas mal

      Posté par  . Évalué à 5.

      A une époque j'utilisais CertPAtrol, mais c'est juste imbuvable, des alertes partout, personne capable de gérer correctement certificats à jour sur leur cdn

      • [^] # Re: DANE fonctionne pas mal

        Posté par  (site web personnel) . Évalué à 5.

        Parfois tu te dis que ça va à peu près, ou suffisamment bien, et on te file l'adresse d'un outils qui va analyser en profondeur ton site web… et là, tu découvres que tu as encore du taf… que les trucs qui passaient il y a quelques temps sont considérés obsolètes maintenant etc.

        https://internet.nl

        Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.