« Analyzing Forged SSL Certificates in the Wild » de Lin-Shung Huang, Alex Rice, Erling Ellingsen et Collin Jackson
Excellente et très amusante analyse de faux certificats #X.509 (appelés à tort « SSL certificates ») trouvés dans la nature. Les auteurs ont mis une pub en Flash sur le site de Facebook, et le code Flash faisait une connexion HTTPS avec Facebook et récupérait le certificat X.509. Cela permet de tester le Web sécurisé vu depuis un grand nombre de machines. Ils ont ainsi récupéré 6 845 faux certificats.
Certains étaient ultra-malveillants, prétendant venir d’autorités de certifications connues comme Verisign. Beaucoup venaient d’anti-virus comme Bitdefender qui détournaient le trafic TLS pour l’examiner, à la recherche de virus (du point de vue sécurité, c’est l’équivalent de se jeter dans le lac pour éviter d’être mouillé par la pluie). La catégorie la plus fréquente, après les anti-virus, était celle des logiciels d’espionnage, qui permettent de surveiller le trafic de ses employés : le logiciel détourne le trafic TLS, le déchiffre et le rechiffre après examen. Plusieurs des faux certificats venaient de la société ContentWatch qui s’en vante sur son site Web « This technology also ensures the users cannot bypass the filtering using encrypted web traffic, remote proxy servers or many of the other common methods used circumvent content filters. » Dans une catégorie proche, les logiciels de contrôle parental tentent aussi de casser la protection qu’offre HTTPS, en présentant des faux certificats (le faux certificat qui est marqué « Louisville Public Library » est probablement dans ce cas, les bibliothèques publiques étant souvent contraintes, par les règles puritaines, de censurer certains services). Et il y avait même du pur malware.