Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Attaque des mots de passe par authentification frauduleuse

Attaque par authentification frauduleuse : un cybercriminel monte une structure aux apparences respectables afin d'obtenir une certification par une autorité.

cr  10.11.2009      r+  05.11.2022      r-  27.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le protocole HTTPS permet de chiffrer (crypter) les communications entre un « client » (l’internaute depuis son appareil) et un « serveur » (l'appareil sur lequel est hébergé le service consulté) dans une « relation client/serveur ». Le chiffrement à un bout puis le déchiffrement à l'autre bout se font en utilisant des « clés » (des codes) qui peuvent être symétriques (la même clé de chaque côté) ou asymétriques (des clés différentes de chaque côté).

Lorsque le service exige que l'internaute s'identifie, avec le couple « identifiant / mot de passe », le service (le site Web) doit être certifié par une autorité de certification.

Des sociétés commerciales fleurissent en tant qu'organismes de certification qui authentifient (certifient) que les clés et leur mise en oeuvre sont bien l'objet d'un fournisseur d'un service Web. Ces certifications sont facturées aux fournisseurs de services Web et, comme il n'y a pas grand-chose à faire sauf facturer annuellement les fournisseurs de services Web, ces sociétés de certifications sont parfois douteuses.

Pour assurer que ces sociétés de certifications d'authenticité sont « authentiquement » des sociétés de certifications, il existe, au-dessus d'elles, des organismes certificateurs, enregistrés et certifiés auprès d'autorités publiques et/ou d'autorités de gouvernance de l'Internet, qui vérifient et certifient que ces sociétés de certifications « de base » sont authentiques et certifiées et ont donc le droit de délivrer des certificats électroniques d'authentification.

Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament « Autorité de certification » et se gargarisent de « Politiques de certification », etc. afin d'être elles-mêmes certifiées. Il y a tant d'argent à se faire si facilement. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'obtenir une certification de certifieur. Il pourra sévir un certain temps.

D'autre part, des certificats frauduleux peuvent être forgés.

  • Le cas le plus médiatisé d'authentification frauduleuse est celui dit du « Virus Stuxnet », découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Pourtant, l'ensemble du dispositif informatique de cette usine n'était même pas connecté à l'Internet.

  • Le « Virus Flame », découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.

Le protocole HTTPS permet de chiffrer (crypter) les communications entre un « client » (l’internaute depuis son appareil) et un « serveur » (l'appareil sur lequel est hébergé le service consulté) dans une « relation client/serveur ». Le chiffrement à un bout puis le déchiffrement à l'autre bout se font en utilisant des « clés » (des codes) qui peuvent être symétriques (la même clé de chaque côté) ou asymétriques (des clés différentes de chaque côté).

Lorsque le service exige que l'internaute s'identifie, avec le couple « identifiant / mot de passe », le service (le site Web) doit être certifié par une autorité de certification.

Des sociétés commerciales fleurissent en tant qu'organismes de certification qui authentifient (certifient) que les clés et leur mise en oeuvre sont bien l'objet d'un fournisseur d'un service Web. Ces certifications sont facturées aux fournisseurs de services Web et, comme il n'y a pas grand-chose à faire sauf facturer annuellement les fournisseurs de services Web, ces sociétés de certifications sont parfois douteuses.

Pour assurer que ces sociétés de certifications d'authenticité sont « authentiquement » des sociétés de certifications, il existe, au-dessus d'elles, des organismes certificateurs, enregistrés et certifiés auprès d'autorités publiques et/ou d'autorités de gouvernance de l'Internet, qui vérifient et certifient que ces sociétés de certifications « de base » sont authentiques et certifiées et ont donc le droit de délivrer des certificats électroniques d'authentification.

Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament « Autorité de certification » et se gargarisent de « Politiques de certification », etc. afin d'être elles-mêmes certifiées. Il y a tant d'argent à se faire si facilement. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'obtenir une certification de certifieur. Il pourra sévir un certain temps.

D'autre part, des certificats frauduleux peuvent être forgés.

  • Le cas le plus médiatisé d'authentification frauduleuse est celui dit du « Virus Stuxnet », découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Pourtant, l'ensemble du dispositif informatique de cette usine n'était même pas connecté à l'Internet.

  • Le « Virus Flame », découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.




Dossier (collection) : Mots de passe

Introduction au dossier

Concepts, attaques, défenses
16 formes d'attaques des mots de passe
Attaque en force brute
Attaque Man in the Middle
Attaque par authentification faible
Attaque par authentification frauduleuse
Attaque par caméra de surveillance
Attaque par dictionnaire exhaustif
Attaque par espionnage humain
Attaque par ingénierie sociale
Attaque par keylogger
Attaque par keylogger acoustique
Attaque par keylogger électromagnétique
Attaque par le virus PEBCAK
Attaque par phishing
Attaque par sniffing sur protocole HTTPS
Attaque par tables arc-en-ciel
Attaques célèbres et réussies de mots de passe
Décrypter un hashcode
Double authentification
Générateur de hashcode cryptographique
Générateur de mots de passe
Générateur d'identifiant (pseudo)
Heartbleed (faille dans OpenSSL) affecte les mots de passe
Identifiant
Identifier l'algorithme de hachage utilisé
Jeux de caractères utilisés dans les mots de passe
Logiciels craqueurs de mots de passe
Mot de passe
Mot de passe : test de solidité
Mots de passe imbéciles
Mots de passe par défaut (usine, constructeur, éditeur)
Risque juridique de complicité passive de l'internaute
Virer le mot de passe protégeant le BIOS

Termes (encyclopédie)
CRC
CRC-1
CRC-12
CRC-16
CRC-32
CRC-64
MD5
NTLM
SHA-1
SHA-2
SHA-224
SHA-256
SHA-384
SHA-512
BIOS
Chiffre clé
Clavier virtuel
CMOS
Condensat
Cryptographie
Exploit
Hack
Hacker
Hashcode
Heartbleed
Identifiant
Ingénierie sociale
Keylogger
Login
Mots de passe
Password Cracker
Password Revealer
Password Stealer
Phishing
Rainbow Tables (Tables Arc-en-ciel)
Spyware
UEFI

Logithèque
HashTab - Calcul de condensats (Windows)
SummerProperties - Calcul de condensats