Attaque des mots de passe par authentification frauduleuse

Le protocole HTTPS permet de chiffrer (crypter) les communications entre un « client » (l’internaute depuis son appareil) et un « serveur » (l'appareil sur lequel est hébergé le service consulté) dans une « relation client/serveur ». Le chiffrement à un bout puis le déchiffrement à l'autre bout se font en utilisant des « clés » (des codes) qui peuvent être symétriques (la même clé de chaque côté) ou asymétriques (des clés différentes de chaque côté).

Lorsque le service exige que l'internaute s'identifie, avec le couple « identifiant / mot de passe », le service (le site Web) doit être certifié par une autorité de certification.

Des sociétés commerciales fleurissent en tant qu'organismes de certification qui authentifient (certifient) que les clés et leur mise en oeuvre sont bien l'objet d'un fournisseur d'un service Web. Ces certifications sont facturées aux fournisseurs de services Web et, comme il n'y a pas grand-chose à faire sauf facturer annuellement les fournisseurs de services Web, ces sociétés de certifications sont parfois douteuses.

Pour assurer que ces sociétés de certifications d'authenticité sont « authentiquement » des sociétés de certifications, il existe, au-dessus d'elles, des organismes certificateurs, enregistrés et certifiés auprès d'autorités publiques et/ou d'autorités de gouvernance de l'Internet, qui vérifient et certifient que ces sociétés de certifications « de base » sont authentiques et certifiées et ont donc le droit de délivrer des certificats électroniques d'authentification.

Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament « Autorité de certification » et se gargarisent de « Politiques de certification », etc. afin d'être elles-mêmes certifiées. Il y a tant d'argent à se faire si facilement. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'obtenir une certification de certifieur. Il pourra sévir un certain temps.

D'autre part, des certificats frauduleux peuvent être forgés.

• Le cas le plus médiatisé d'authentification frauduleuse est celui dit du « Virus Stuxnet », découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Pourtant, l'ensemble du dispositif informatique de cette usine n'était même pas connecté à l'Internet.

• Le « Virus Flame », découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.