Discussion :

[Stéphane le calme]

L'autorité de certification Let's Encrypt expose par inadvertance 7618 adresses mail de ses utilisateurs,
suite à un bogue dans son système d'envoi de newsletters

Let’s Encrypt, l’autorité de certification issue d’une collaboration entre la fondation Mozilla et l’EFF et qui ambitionne de fournir gratuitement des certificats SSL (afin que les propriétaires de sites, qui par exemple ne disposent pas d’un grand budget, puissent faire tourner leurs sites sur du HTTPS), a beaucoup gagné en popularité.

Lancé en 2012, le projet a atteint le stade de bêta publique en décembre 2015 et n’a été disponible en version stable que le 12 avril dernier, avec des partenaires de la trempe de Cisco et Akamai qui ont renouvelé leur sponsoring Platinum. Le projet affirmait avoir délivré plus de 1,7 million de certificats pour 3,8 millions de sites web depuis le lancement de la bêta publique. Faisant allusion à l’engagement de Let’s Encrypt de participer à la vulgarisation des protocoles SSL/TLS sur le web, Stephen Ludin, architecte en chef chez Akamai, a alors avancé que « cette étape est la confirmation de la capacité de Let’s Encrypt à réaliser cette vision et avoir un énorme impact sur l'écosystème Internet ».

Il faut noter le partenariat développé autour du projet Let’s Encrypt entre l’EFF et Automattic, une startup américaine d’édition de logiciel qui développe et distribue entre autres l'outil de publication de blogs internet à très grand succès WordPress. Après ce partenariat, Automattic a annoncé que tous les blogs WordPress tournant sur des domaines personnalisés peuvent désormais activer en option le certificat délivré par Let’s Encrypt en quelques clics seulement, et migrer tout leur contenu vers du HTTPS.

Le 11 juin 2016, le projet Let's Encrypt a entrepris d'envoyer des courriels à tous les abonnés à sa newsletter à propos d'une mise à jour apportée à leur contrat d'abonnement. Comme plusieurs entreprises le font, le projet a fait appel à une partie tierce pour gérer cette tâche. Selon Josh Aas, l'ISRG Executive Director de Let's Encrypt, il y a eu un bogue dans le système qui a conduit à une divulgation involontaire de milliers d'adresses mail dans la liste de diffusion d'abonnés à ses abonnés. L'organisation a révélé que 7618 adresses mail ont été compromises et que le même nombre d'utilisateurs ont reçu des courriels en quantités variables étant donné que la chaîne de courriel automatisé a grandi en taille.

« Le 11 juin 2016 (UTC), nous avons commencé à envoyer un courriel à tous les abonnés actifs qui ont fourni une adresse mail, les informant d'une mise à jour à notre contrat d'abonnement. Cela a été fait par le biais d'un système automatisé qui contenait un bogue qui, par erreur, a préfixé entre 0 et 7618 d’autres adresses mail au corps du courriel. La résultante étant que les bénéficiaires pouvaient voir les adresses mail des autres destinataires. Le problème a été remarqué et le système a été arrêté après qu’environ 7618 sur environ 383 000 courriels (1,9 %) ont été envoyés. Chaque courriel contenait par erreur les adresses mail des courriels envoyés précédemment, donc les courriels précédents contenaient moins d'adresses que les derniers.

Nous prenons notre relation avec nos utilisateurs très au sérieux et nous nous excusons pour l'erreur. Nous allons faire une analyse approfondie afin de déterminer exactement comment cela est arrivé et comment nous pouvons empêcher qu’un tel évènement se produise à nouveau. Nous mettrons à jour ce rapport d'incident avec nos conclusions.

Si vous avez reçu un de ces courriels, nous vous demandons de ne pas publier des listes d'adresses électroniques au public ».

Il faut noter que moins de 2 % de ses utilisateurs se sont trouvés affectés et que Let’s Encypt a su réagir rapidement. Aussi faibles que puissent être les conséquences de cette divulgation, elles viennent à nouveau mettre en exergue les failles inhérentes à la confiance centralisée sur le web.

Ce n’est pas la première menace de sécurité à laquelle Let’s Encrypt a fait face, étant donné qu’au début de cette année, les chercheurs en sécurité de Trend Micro ont découvert une campagne de malvertising qui s’est servi d’une technique de « domain shadowing » pour abuser de Let’s Encrypt (les attaquants qui ont acquis la capacité de créer des sous-domaines dans un domaine légitime le font, mais le sous-domaine créé conduit à un serveur sous le contrôle des assaillants. Dans ce cas particulier, les attaquants créent ad.{domainelegitime}.com sous le site légitime et le trafic créé dans ce sous-domaine se sert de HTTPS et d’un certificat Let’s Encrypt). D’ailleurs, parlant des cas comme celui-ci où les attaquants sont capables de créer des sous-domaines sous un domaine légitime, Trend Micro a estimé « qu’une autorité de certification qui délivre automatiquement des certificats spécifiques à ses sous-domaines peut aider, par inadvertance, les cybercriminels, ainsi que rendre le propriétaire du domaine ignorant du problème et donc incapable de l'empêcher ».

Source : Let's Encrypt (rapport préliminaire sur l'incident), Let's Encrypt (annonce de la disponibilité générale), WordPress (annonce du HTTPS gratuit pour tous les domaines personnalisés hébergés sur WordPress.com), blog Trend Micro

Et vous ?

Avez-vous déjà testé la mise en œuvre de ces certificats de sécurité ? Qu’en pensez-vous ?

Voir aussi :

Les certificats SSL/TSL de Let's Encrypt sont supportés par la majorité des navigateurs, l'autorité avance dans son projet de sécuriser le Web

L'EFF et Mozilla lancent une nouvelle autorité de certification pour chiffrer le Web « Let's Encrypt » délivrera gratuitement des certificats TLS/SSL

[Lordsephiroth]

C'est marrant, ça me rappelle un vieux bug qui m'a été raconté par un ancien collègue. Un programme COBOL était à l'époque chargé de générer un fichier contenant l'attestation des rentes d'assurance versées dans l'année pour la déclaration d'impôt. Il avait oublié de réinitialiser la variable qui contenait la somme des paiements réalisés. La feuille du premier assuré était donc juste, le second avait son cumul additionné à celui du premier... et le dernier assuré avait reçu une attestation de rente pour des centaines de millions, le cumul de TOUTES les rentes versées par l'entreprise dans l'année... ça fait des sacrés impôts sur le revenu à payer ça

[...]les attaquants qui ont acquis la capacité de créer des sous-domaines dans un domaine légitime le font, mais le sous-domaine créé conduit à un serveur sous le contrôle des assaillants[...]

Je suis peut être un peu idiot, mais j'ai du mal à comprendre comment Let's Encrypt peut être tenu responsable pour le genre d'attaques décrites en fin d'article. Si l'attaquant a la capacité de créer un sous-domaine dans le domaine légitime, un serveur DNS est compromis. Si c'est le cas, avec ou sans certificat Let's Encrypt, le traffic peut aisément être redirigé vers un serveur tiers contrôlé par l'attaquant. Let's Encrypt permet peut être plus facilement à l'attaquant d'activer le HTTPS sur son serveur pour déjouer la vigilance de l'internaute, mais un des principes de base en sécurité c'est que la sécurité d'un système est celle de son élément le plus faible, en l'occurence le serveur DNS...

[eomer212]

un peu facile tout de même. d'autant que j'aimerais voir une ou des entreprises à part google bien sur qui ne dépende pas de dns géré par d'autres, avec bien souvent des régles datants de la sortie du TO7..
alors reporter le probléme sur d'autres, les DNS en l'occurence, c'est un faux probléme. les utilisateurs sont le vrai probléme,
regardez donc les logs sur les tentatives de comptes et mots de passe qui échouent à se connecter sur votre serveur. trés instructif sur la faiblesse de ceux ci.
la sécurité, ca mérite un peu d'effort, c'est comme la liberté. c'est jamais gagné, et mieux vaut avoir un vieux fusil quelque part, (ou des sauvegardes, à jour, et des archives encryptées ) , on sait jamais..

[PBernard18]

L'idée de mettre à disposition de tout un chacun la possibilité de sécuriser gratuitement ses flux via HTTPS reste sur le principe une excellente initiative.

Côté mise en œuvre, chez LetsEncryp, la façon dont ils s'y prennent pour délivrer le service est pour le moins assez surprenante. La certification est intrusive), la durée du certificat est de 90 jours. Sur une distribution Centos7, il faut pas moins de 70Mo pour installer le moteur LetsEncrypt sur le serveur. Puis compter environ 70 autres Mo supplémentaires pour assurer les dépendances. Ca commence à faire d'autan que tout cela ne sert à priori qu'à estampiller un certificat.

Côté auto-certification, openSSL natif sur Centos7 permet de créer la clé privée, la demande de validation et l'auto-validation. Si les flux sont cryptés, les navigateurs alertent abondamment sur la possible compromission des certificats obtenus de cette manière ; la machine destinataire ne pouvant pas être garantie en tant que le réel destinataire attendu.

Côté concurrent, StartSSL offre un service équivalent et tout aussi gratuit en ne travaillant que sur la clé (certification non intrusive). La clé privée + la demande de validation sont fournies en entrée du processus de certification et on obtient en sortie un certificat validé et reconnu par les principaux navigateurs du marché. La solution est idéale, un peu compliquée à mettre en œuvre pour les non initiés car bien souvent assez peu francisée.

Pour ma part, j'ai abandonné LetsEncrypt. A voir peut-être lorsqu'ils auront un peu plus de maturité ...

[pandark]

La certification est intrusive, la durée du certificat est de 90 jours. Sur une distribution Centos7, il faut pas moins de 70Mo pour installer le moteur LetsEncrypt sur le serveur. Puis compter environ 70 autres Mo supplémentaires pour assurer les dépendances. Ça commence à faire d'autan que tout cela ne sert à priori qu'à estampiller un certificat.

Let's Encrypt fournit un client officiel, mais également le protocole (acme) ouvert utilisé. Il existe de nombreux clients alternatifs écrits dans différents langages, de tailles diverses et fournissant plus ou moins de fonctionnalités.

Il y a notamment simp_le qui est écrit par un des développeurs du client officiel.