La plupart des certificats de signature de code utilisés par des malwares n'auraient pas été dérobés à des entreprises,
mais simplement vendus

Un certificat de signature de code est un certificat numérique contenant certaines informations permettant d'identifier une personne ou une organisation, et qui a été émis par une Autorité de Certification. Celui-ci permet aux développeurs d'inclure dans leurs applications ou leurs programmes des informations sur eux-mêmes, ainsi que de créer une signature numérique (signer du code).

Les certificats de signatures de code permettent aux développeurs de signer numériquement un nombre illimité d’applications qu’ils vont ensuite distribuer sur Internet, ainsi que d’y apposer un sceau d’horodatage afin d’empêcher l’expiration de la signature.

Ainsi, un développeur qui signe le code de son programme instaure la confiance avec l’utilisateur final, en garantissant que le programme est légitime, conforme au développement initial, et que le code n’a subi aucune altération entre sa création et sa publication.

En somme, les certificats de signature du code sont conçus pour donner un certain niveau d’assurance quant à l’authenticité des applications, aussi bien sur desktop que sur mobile.

Il faut également noter que les applications signées par code sont plus difficiles à détecter par les dispositifs de sécurité réseau. Ce qui peut expliquer la raison pour laquelle, pour contourner les détections des solutions antivirus, il arrive de voir des opérateurs derrière des attaques s’appuyer sur des certificats signés qui ont été délivrés par des entreprises connues et bien établies.

Cependant, une recherche vient remettre en cause l’hypothèse voulant que, pour mettre la main sur ces certificats, les pirates aient dû les dérober en pénétrant les réseaux d’entreprises légitimes, de leurs partenaires ou des autorités de certification elles-mêmes.

En effet, selon Andrei Barysevich, directeur de la branche Advanced Collection pour le compte de Recorded Future, la grande majorité des certificats obtenus illicitement sont disponibles pour les cybercriminels en raison de la fraude et non du piratage dans le réseau d'une autorité de certification.

« Il a été généralement supposé que les certificats de sécurité circulant dans les réseaux criminels ont été volés à des propriétaires légitimes avant d'être utilisés dans des campagnes infâmes », a rappelé déclaré Barysevich.

« Cependant, notre analyse la plus récente indique que ce n'est pas le cas, nous avons confirmé – avec une grande certitude – que les certificats de contrefaçon sont créés pour des acheteurs spécifiques, par demande seulement et enregistrés avec des identités corporatives volées. »

Commander un certificat signé ? Oui, mais où ?


Dans son rapport, Recorded Future révèle que les escrocs opèrent via des boutiques en ligne. Les clients passent une commande et le propriétaire se rend chez une autorité de certification pour demander le certificat souhaité pour une application ou un site Web frauduleux. Pour en obtenir un, il utilise des identités volées d'une entreprise légitime et de ses employés.

« Nous croyons que les propriétaires d'entreprise légitimes ignorent complètement que leurs données ont été ou sont utilisées dans ces activités illicites », explique Barysevich.

Les recherches de l'expert ont également révélé que les cyberescrocs ont réussi à obtenir régulièrement des certificats légitimes de signature de code auprès d'autorités de certification populaires telles que Comodo, Thawte et Symantec.

Les certificats Apple étaient également disponibles.

« Dans le monde d'Apple, vous ne pouvez pas exécuter un programme qui n'est pas signé par un code, mais il existe de nombreux moyens de le contourner » , a déclaré Amit Serper, chercheur principal en sécurité chez Cybereason et spécialiste des malwares ciblant Mac. « Pour qu'un programme soit signé, vous devez créer un compte de développeur, payer Apple 99 $ et lui donner une raison de vous délivrer un certificat puisque l'objectif d'Apple est de gagner de l'argent et de recruter plus de développeurs, obtenir un certificat est incroyablement facile. »

« De nombreux logiciels malveillants et publicitaires pour les macs sont signés avec des certificats de signature de code légitimes fournis par Apple », a-t-il déclaré.

Les vendeurs remettent les certificats aux clients, qui les utilisent pour chiffrer le trafic HTTPS ou signer des applications, les faisant apparaître comme provenant d'une source légitime et fiable.


Qu’en est-il des prix ?

Les prix de tels certificats de signature de code sur le Dark Web vont de 299 $ à 1799 $, avec les produits haut de gamme incluant les certificats EV (Extended Validation), le plus haut niveau de certificats de confiance possible.

Cependant, malgré un marché naissant pour de tels outils d'évasion AV (les premières vitrines à pratiquer ce genre de vente sont apparues en 2015, d’après le document), ils ne sont pas encore très répandus parmi les développeurs de logiciels malveillants.

Selon Barysevich, le frein à cette adoption est le prix élevé des certificats signés. D’ailleurs, ils ont comme concurrent d’autres outils d'évasion de solutions AV, tels que les crypters (des logiciels qui peuvent chiffrer, masquer et manipuler les logiciels malveillants, les rendant indétectables pour les programmes de sécurité parce qu’ils leur sont présentés comme étant inoffensifs), qui se trouvent encore assez efficaces ces jours-ci et sont disponibles à des prix beaucoup plus réduits.

Néanmoins, Barysevich estime que les acteurs malveillants qui ont besoin d’un maximum de furtivité et d’efficacité vont continuer à compter sur ces types de certificats de façon régulière, indépendamment de leur prix.

Source : Recorded Future