Sponsorisée par Venafi et menée par les chercheurs du Groupe de recherche factuelle sur la cybersécurité de l’école d’études politiques Andrew Young de l’Université d’État de Géorgie et de l’Université de Surrey, elle révèle le nombre grandissant de sites commercialisant des certificats TLS à l’unité ou associés à un vaste choix de crimeware. Utilisés conjointement, ils fournissent aux cybercriminels des solutions machine-identities-as-a-service leur permettant d’usurper des sites Web, intercepter des communications chiffrées, perpétrer des attaques « man in the middle » et dérober des données sensibles.

« L’un des points les plus intéressants de cette étude est l’association des certificats TLS à des services connexes, notamment des services de design Web, grâce auxquels les attaquants obtiennent un haut degré de crédibilité et de confiance », affirme le chercheur en sécurité et auteur du rapport Dr David Maimon, professeur associé et directeur du Groupe de recherche factuelle sur la cybersécurité. « J’ai été surpris de découvrir à quel point il est simple et bon marché d’acquérir des certificats à validation renforcée ainsi que les documents permettant de créer des sociétés fictives sans aucune information de vérification. »

Les principales conclusions de l’étude sont les suivantes :

• Parmi les boutiques Tor observées, cinq proposent régulièrement des certificats SSL/TLS ainsi que de nombreux services et produits rattachés.

• Un certificat est mis à prix de 260 à 1 600 $ en fonction de son type et de l’étendue des services supplémentaires.

• Les chercheurs ont découvert la présence de certificats à validation renforcée packagés avec des services web malveillants tels que d’anciens domaines indexés par Google, un service après-vente, des services de design web ainsi qu’une intégration avec différents processeurs de paiement dont Stripe, PayPal et Square.

• Au moins un vendeur de BlockBooth prétend pouvoir émettre des certificats d’autorités de certification renommées, accompagnés de la documentation d’une société falsifiée comprenant des numéros DUNS. Ce package de produits et services permet aux attaquants de passer de manière crédible pour une entreprise britannique ou américaine réputée pour moins de 2 000 $.

Une recherche représentative de ces cinq marchés en ligne a retourné 2 943 mentions pour le terme « SSL » et 75 pour « TLS ». En comparaison, « ransomware » et « zero days » retournent respectivement 531 et 161 mentions. Il a par ailleurs été observé que certains sites tels que Dream Market semble se spécialiser dans la vente de certificats TLS en proposant effectivement des produits machine-identity-as-a-service.

En outre, les chercheurs ont découvert que les certificats sont souvent packagés avec d’autres crimeware, dont des ransomware.

« Cette étude met clairement en évidence l’omniprésence de la vente de certificats TLS sur le Dark Web », indique Kevin Bocek, vice-présent du département de sécurité et d’analyse des menaces de Venafi. « Les certificats TLS jouant le rôle d’identités de machine de confiance font manifestement partie intégrante de la boîte à outils des cybercriminels, tout comme les bots, les ransomware et les spyware. Il convient de réaliser des recherches plus poussées à ce sujet, mais les entreprises doivent s’inquiéter du fait que les certificats visant à garantir et maintenir la confiance et la confidentialité sur Internet sont devenus des armes vendues aux cybercriminels comme de simples marchandises. »

Conception et méthodologie de l’étude
Pour les besoins de l’étude, les chercheurs se sont penchés sur les marchés en ligne et les forums de hackers du réseau Tor, d’I2P et de Freenet d’octobre 2018 à janvier 2019 en recherchant les annonces proposant des certificats TLS corrompus, contrefaits et falsifiés. Durant cette période, l’équipe de recherche a effectué 16 recherches par semaine et découvert près de 60 pages pertinentes sur les marchés en ligne de Tor et 17 sur I2P. Les chercheurs ont étudié les annonces en détail et parfois contacté les vendeurs afin de mieux comprendre les produits et les services qu’ils proposaient.