Microsoft a livré une mise à jour pour placer en liste noire un certificat SSL frauduleux fourni pour l’un de ses noms de domaine, live.fi, par un tiers non autorisé. « Le certificat délivré irrégulièrement peut être utilisé pour usurper les contenus, mener des attaques de phishing, ou intercepter des données HTTPS cryptées via des attaques man-in-the-middle sur les noms de domaines live.fi et www.live.fi de Microsoft », indique la firme de Redmond dans son avis de sécurité publié lundi.

L’update modifie la liste des certificats de confiance Certificate Trust List (CTL) incluse dans Windows et inscrit le certificat frauduleux en liste noire. Les systèmes exécutant Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 et Windows Server 2012 R2 recevront automatiquement et de manière transparente la mise à jour. Windows Vista, Windows 7, Windows Server 2008 R2 et les systèmes Windows Server 2008 pourront être mis automatiquement à jour, à condition d’avoir préalablement installé les mises à jour KB2677070 ou KB2813430 qui ajoutaient la révocation automatique des certificats. Dans le cas contraire, et pour les clients exécutant Windows Server 2003, la mise à jour KB2917500 révoquant le certificat live.fi frauduleux doit être faite manuellement.

Contrôler plus strictement les adresses administrateurs

Le certificat qui a été émis par Comodo, provient d’un tiers non autorisé qui a pu enregistrer un compte de messagerie sur le domaine de live.fi en utilisant un « nom d'utilisateur privilégié ». Ensuite, il s’est servi de ce même compte de messagerie pour demander le certificat, selon Microsoft. Un document publié par le support technique de Comodo explique qu’avant de délivrer un certificat pour un nom de domaine particulier, la personne qui en fait la demande doit prouver qu’elle est propriétaire du domaine ou qu’elle le contrôle.

La « validation de commande de domaine » se fait de plusieurs façons : une des méthodes consiste à envoyer un courriel à l'une des adresses de messagerie admin génériques du genre admin@, administrator@, postmaster@, hostmaster@ ou webmaster@. On ne se sait pas lequel de ces noms d'utilisateur le tiers non autorisé a réussi à inscrire sur le domaine live.fi. Cependant, l'incident devrait servir d'avertissement à tous les propriétaires de domaine, et les inciter à contrôler plus strictement ces adresses « administrateur ».

Difficile d’annuler un certificat SSL émis à tort

Même si les utilisateurs appliquent la mise à jour Microsoft, le risque associé à ce certificat ne disparaît pas complètement. En effet, toutes les applications ne se basent pas sur la liste des certificats de confiance de Windows pour valider les certificats des sites Web. Si des navigateurs comme Internet Explorer et Google Chrome se référent bien à la liste CTL, ce n’est pas le cas de Firefox qui a son propre référentiel de certificats, que Mozilla met à jour directement. L'incident montre une fois de plus que, dès qu’un certificat SSL est émis à tort ou frauduleusement, il devient difficile de l’annuler. Certes, l'autorité de certification émettrice (CA) peut marquer le certificat révoqué, mais le processus de vérification de ces révocations n’est pas géré de bout en bout.

Pour s’assurer qu’un certificat a bien été révoqué, on peut soit vérifier les listes de révocation de certificats (CRL) publiées régulièrement par les autorités de certification, soit utiliser le protocole Online Certificate Status Protocol (OCSP). Celui-ci interroge les serveurs OCSP exploités par l’AC et permet de voir en temps réel l'état de révocation d'un certificat. Chaque approche a ses inconvénients : les navigateurs laissent passer les connexions SSL même en cas d’échec des contrôles CRL ou OCSP au niveau du réseau, car les retours d’erreur ont des origines diverses, par exemple, une panne des serveurs du CA ou une congestion du réseau sur le trajet. Cette approche est qualifiée d’échec « soft ». Le problème, c’est que les attaques « man-in-the-middle » peuvent aussi bloquer les contrôles CRL et OCSP, rendant la méthode tout à fait inutile. Pour cette raison, quand ils sont identifiés, les éditeurs de navigateurs doivent inscrire manuellement les certificats frauduleux en liste noire et déployer une mise à jour de cette liste pour leurs navigateurs.