IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'autorité de certification Let's Encrypt expose par inadvertance 7618 adresses mail de ses utilisateurs


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 543
    Points : 155 605
    Points
    155 605
    Par défaut L'autorité de certification Let's Encrypt expose par inadvertance 7618 adresses mail de ses utilisateurs
    L'autorité de certification Let's Encrypt expose par inadvertance 7618 adresses mail de ses utilisateurs,
    suite à un bogue dans son système d'envoi de newsletters

    Let’s Encrypt, l’autorité de certification issue d’une collaboration entre la fondation Mozilla et l’EFF et qui ambitionne de fournir gratuitement des certificats SSL (afin que les propriétaires de sites, qui par exemple ne disposent pas d’un grand budget, puissent faire tourner leurs sites sur du HTTPS), a beaucoup gagné en popularité.

    Lancé en 2012, le projet a atteint le stade de bêta publique en décembre 2015 et n’a été disponible en version stable que le 12 avril dernier, avec des partenaires de la trempe de Cisco et Akamai qui ont renouvelé leur sponsoring Platinum. Le projet affirmait avoir délivré plus de 1,7 million de certificats pour 3,8 millions de sites web depuis le lancement de la bêta publique. Faisant allusion à l’engagement de Let’s Encrypt de participer à la vulgarisation des protocoles SSL/TLS sur le web, Stephen Ludin, architecte en chef chez Akamai, a alors avancé que « cette étape est la confirmation de la capacité de Let’s Encrypt à réaliser cette vision et avoir un énorme impact sur l'écosystème Internet ».

    Il faut noter le partenariat développé autour du projet Let’s Encrypt entre l’EFF et Automattic, une startup américaine d’édition de logiciel qui développe et distribue entre autres l'outil de publication de blogs internet à très grand succès WordPress. Après ce partenariat, Automattic a annoncé que tous les blogs WordPress tournant sur des domaines personnalisés peuvent désormais activer en option le certificat délivré par Let’s Encrypt en quelques clics seulement, et migrer tout leur contenu vers du HTTPS.

    Le 11 juin 2016, le projet Let's Encrypt a entrepris d'envoyer des courriels à tous les abonnés à sa newsletter à propos d'une mise à jour apportée à leur contrat d'abonnement. Comme plusieurs entreprises le font, le projet a fait appel à une partie tierce pour gérer cette tâche. Selon Josh Aas, l'ISRG Executive Director de Let's Encrypt, il y a eu un bogue dans le système qui a conduit à une divulgation involontaire de milliers d'adresses mail dans la liste de diffusion d'abonnés à ses abonnés. L'organisation a révélé que 7618 adresses mail ont été compromises et que le même nombre d'utilisateurs ont reçu des courriels en quantités variables étant donné que la chaîne de courriel automatisé a grandi en taille.

    « Le 11 juin 2016 (UTC), nous avons commencé à envoyer un courriel à tous les abonnés actifs qui ont fourni une adresse mail, les informant d'une mise à jour à notre contrat d'abonnement. Cela a été fait par le biais d'un système automatisé qui contenait un bogue qui, par erreur, a préfixé entre 0 et 7618 d’autres adresses mail au corps du courriel. La résultante étant que les bénéficiaires pouvaient voir les adresses mail des autres destinataires. Le problème a été remarqué et le système a été arrêté après qu’environ 7618 sur environ 383 000 courriels (1,9 %) ont été envoyés. Chaque courriel contenait par erreur les adresses mail des courriels envoyés précédemment, donc les courriels précédents contenaient moins d'adresses que les derniers.

    Nous prenons notre relation avec nos utilisateurs très au sérieux et nous nous excusons pour l'erreur. Nous allons faire une analyse approfondie afin de déterminer exactement comment cela est arrivé et comment nous pouvons empêcher qu’un tel évènement se produise à nouveau. Nous mettrons à jour ce rapport d'incident avec nos conclusions.

    Si vous avez reçu un de ces courriels, nous vous demandons de ne pas publier des listes d'adresses électroniques au public ».

    Il faut noter que moins de 2 % de ses utilisateurs se sont trouvés affectés et que Let’s Encypt a su réagir rapidement. Aussi faibles que puissent être les conséquences de cette divulgation, elles viennent à nouveau mettre en exergue les failles inhérentes à la confiance centralisée sur le web.

    Ce n’est pas la première menace de sécurité à laquelle Let’s Encrypt a fait face, étant donné qu’au début de cette année, les chercheurs en sécurité de Trend Micro ont découvert une campagne de malvertising qui s’est servi d’une technique de « domain shadowing » pour abuser de Let’s Encrypt (les attaquants qui ont acquis la capacité de créer des sous-domaines dans un domaine légitime le font, mais le sous-domaine créé conduit à un serveur sous le contrôle des assaillants. Dans ce cas particulier, les attaquants créent ad.{domainelegitime}.com sous le site légitime et le trafic créé dans ce sous-domaine se sert de HTTPS et d’un certificat Let’s Encrypt). D’ailleurs, parlant des cas comme celui-ci où les attaquants sont capables de créer des sous-domaines sous un domaine légitime, Trend Micro a estimé « qu’une autorité de certification qui délivre automatiquement des certificats spécifiques à ses sous-domaines peut aider, par inadvertance, les cybercriminels, ainsi que rendre le propriétaire du domaine ignorant du problème et donc incapable de l'empêcher ».

    Source : Let's Encrypt (rapport préliminaire sur l'incident), Let's Encrypt (annonce de la disponibilité générale), WordPress (annonce du HTTPS gratuit pour tous les domaines personnalisés hébergés sur WordPress.com), blog Trend Micro

    Et vous ?

    Avez-vous déjà testé la mise en œuvre de ces certificats de sécurité ? Qu’en pensez-vous ?

    Voir aussi :

    Les certificats SSL/TSL de Let's Encrypt sont supportés par la majorité des navigateurs, l'autorité avance dans son projet de sécuriser le Web

    L'EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer le Web « Let's Encrypt » délivrera gratuitement des certificats TLS/SSL
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé Avatar de Lordsephiroth
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2006
    Messages
    199
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2006
    Messages : 199
    Points : 492
    Points
    492
    Par défaut
    C'est marrant, ça me rappelle un vieux bug qui m'a été raconté par un ancien collègue. Un programme COBOL était à l'époque chargé de générer un fichier contenant l'attestation des rentes d'assurance versées dans l'année pour la déclaration d'impôt. Il avait oublié de réinitialiser la variable qui contenait la somme des paiements réalisés. La feuille du premier assuré était donc juste, le second avait son cumul additionné à celui du premier... et le dernier assuré avait reçu une attestation de rente pour des centaines de millions, le cumul de TOUTES les rentes versées par l'entreprise dans l'année... ça fait des sacrés impôts sur le revenu à payer ça

    Citation Envoyé par Stéphane le calme Voir le message
    [...]les attaquants qui ont acquis la capacité de créer des sous-domaines dans un domaine légitime le font, mais le sous-domaine créé conduit à un serveur sous le contrôle des assaillants[...]
    Je suis peut être un peu idiot, mais j'ai du mal à comprendre comment Let's Encrypt peut être tenu responsable pour le genre d'attaques décrites en fin d'article. Si l'attaquant a la capacité de créer un sous-domaine dans le domaine légitime, un serveur DNS est compromis. Si c'est le cas, avec ou sans certificat Let's Encrypt, le traffic peut aisément être redirigé vers un serveur tiers contrôlé par l'attaquant. Let's Encrypt permet peut être plus facilement à l'attaquant d'activer le HTTPS sur son serveur pour déjouer la vigilance de l'internaute, mais un des principes de base en sécurité c'est que la sécurité d'un système est celle de son élément le plus faible, en l'occurence le serveur DNS...
    Always code as if the guy maintaining your application is a violent psychopath!
    Site personnel sur la saga Final Fantasy : http://www.final-fantasy.ch

  3. #3
    Membre confirmé
    Profil pro
    Développeur indépendant
    Inscrit en
    août 2004
    Messages
    352
    Détails du profil
    Informations personnelles :
    Âge : 53
    Localisation : France

    Informations professionnelles :
    Activité : Développeur indépendant
    Secteur : Transports

    Informations forums :
    Inscription : août 2004
    Messages : 352
    Points : 452
    Points
    452
    Par défaut
    un peu facile tout de même. d'autant que j'aimerais voir une ou des entreprises à part google bien sur qui ne dépende pas de dns géré par d'autres, avec bien souvent des régles datants de la sortie du TO7..
    alors reporter le probléme sur d'autres, les DNS en l'occurence, c'est un faux probléme. les utilisateurs sont le vrai probléme,
    regardez donc les logs sur les tentatives de comptes et mots de passe qui échouent à se connecter sur votre serveur. trés instructif sur la faiblesse de ceux ci.
    la sécurité, ca mérite un peu d'effort, c'est comme la liberté. c'est jamais gagné, et mieux vaut avoir un vieux fusil quelque part, (ou des sauvegardes, à jour, et des archives encryptées ) , on sait jamais..

  4. #4
    Membre habitué
    Homme Profil pro
    Chef de projet
    Inscrit en
    juin 2014
    Messages
    69
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Chef de projet

    Informations forums :
    Inscription : juin 2014
    Messages : 69
    Points : 164
    Points
    164
    Par défaut
    L'idée de mettre à disposition de tout un chacun la possibilité de sécuriser gratuitement ses flux via HTTPS reste sur le principe une excellente initiative.

    Côté mise en œuvre, chez LetsEncryp, la façon dont ils s'y prennent pour délivrer le service est pour le moins assez surprenante. La certification est intrusive), la durée du certificat est de 90 jours. Sur une distribution Centos7, il faut pas moins de 70Mo pour installer le moteur LetsEncrypt sur le serveur. Puis compter environ 70 autres Mo supplémentaires pour assurer les dépendances. Ca commence à faire d'autan que tout cela ne sert à priori qu'à estampiller un certificat.

    Côté auto-certification, openSSL natif sur Centos7 permet de créer la clé privée, la demande de validation et l'auto-validation. Si les flux sont cryptés, les navigateurs alertent abondamment sur la possible compromission des certificats obtenus de cette manière ; la machine destinataire ne pouvant pas être garantie en tant que le réel destinataire attendu.

    Côté concurrent, StartSSL offre un service équivalent et tout aussi gratuit en ne travaillant que sur la clé (certification non intrusive). La clé privée + la demande de validation sont fournies en entrée du processus de certification et on obtient en sortie un certificat validé et reconnu par les principaux navigateurs du marché. La solution est idéale, un peu compliquée à mettre en œuvre pour les non initiés car bien souvent assez peu francisée.

    Pour ma part, j'ai abandonné LetsEncrypt. A voir peut-être lorsqu'ils auront un peu plus de maturité ...

  5. #5
    Membre à l'essai
    Profil pro
    Inscrit en
    avril 2010
    Messages
    11
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : avril 2010
    Messages : 11
    Points : 19
    Points
    19
    Par défaut
    Citation Envoyé par PBernard18 Voir le message
    La certification est intrusive, la durée du certificat est de 90 jours. Sur une distribution Centos7, il faut pas moins de 70Mo pour installer le moteur LetsEncrypt sur le serveur. Puis compter environ 70 autres Mo supplémentaires pour assurer les dépendances. Ça commence à faire d'autan que tout cela ne sert à priori qu'à estampiller un certificat.
    Let's Encrypt fournit un client officiel, mais également le protocole (acme) ouvert utilisé. Il existe de nombreux clients alternatifs écrits dans différents langages, de tailles diverses et fournissant plus ou moins de fonctionnalités.

    Il y a notamment simp_le qui est écrit par un des développeurs du client officiel.

Discussions similaires

  1. L'autorité de certification n'est pas valide ou incorrecte
    Par babibello dans le forum Web & réseau
    Réponses: 0
    Dernier message: 10/07/2009, 10h37
  2. [XP] Autorité de certification openssl
    Par crypto dans le forum Sécurité
    Réponses: 7
    Dernier message: 20/03/2008, 22h06
  3. Réponses: 4
    Dernier message: 31/10/2007, 17h40
  4. [Win2003]Installer une Autorité de certification
    Par virgul dans le forum Windows Serveur
    Réponses: 2
    Dernier message: 24/05/2007, 15h29
  5. Réponses: 3
    Dernier message: 10/09/2006, 12h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo