Le logiciel Let’s Encrypt qui permet de faciliter le chiffrement HTTPs sur le web a déjà été trafiqué par des pirates peu de temps après son lancement au grand public. Ces opérations malveillantes décelées par l’éditeur devront être éradiquées. Il reste à attendre la réaction et la décision des sponsors et partenaires.
Un grand succès contre-attaqué
Depuis que Let’s Encrypt a été lancé en tant que bêta public, il a connu une grande réussite. Les administrateurs web voient leurs tâches plus simplifiées. Ils peuvent déployer du HTTPs sans avoir à obtenir une autorité de certification, ce qui n’est pas vraiment évident dans certains cas. Cette autorité de certification s’avère obligatoire dans ce type de déploiement pour obtenir un certificat SSL permettant d’accéder à un site web protégé. 
Let’s Encrypt est accessible au grand public depuis décembre dernier. Mais ce mois même, des activités malveillantes ont été repérées. Une opération venant d’un serveur de malversting au Japon a été décelée. Ce serveur menait jusqu’à des sites hébergeant l’Angler Exploit Kit. Ce logiciel permet de télécharger du Trojan bancaire à partir de machines infectées pour le propager par la suite via le réseau du même serveur.
Comment se manifeste le piratage ?
Ceci a déjà commencé en septembre dernier, alors que Let’s Encrypt n’a pas encore été changé en bêta public. Le premier signe de piratage provenait également du Japon. 
En effet, les pirates utilisent la technique « domain shadowing » pour détourner l’usage d’une application utile et saine. Cette technique consiste à créer des sous-domaines à partir du domaine d’hébergement de l’application. Pour ce faire, les pirates doivent obtenir les droits d’administrateurs. Ensuite, ils créent des liens à partir de ces sous-domaines, menant vers un serveur contrôlé. Tous les trafics générés à partir de ces sous-domaines sont en effet chiffré avec le certificat de Let’s Encrypt. Le vrai problème est que les administrateurs de Let’s Encrypt peuvent repérer les faux certificats. Toutefois, Let’s Encrypt n’est pas en mesure de les révoquer.