Let’s Encrypt est déjà piraté

Le logiciel Let’s Encrypt qui permet de faciliter le chiffrement HTTPs sur le web a déjà été trafiqué par des pirates peu de temps après son lancement au grand public. Ces opérations malveillantes décelées par l’éditeur devront être éradiquées. Il reste à attendre la réaction et la décision des sponsors et partenaires.

Un grand succès contre-attaqué

Depuis que Let’s Encrypt a été lancé en tant que bêta public, il a connu une grande réussite. Les administrateurs web voient leurs tâches plus simplifiées. Ils peuvent déployer du HTTPs sans avoir à obtenir une autorité de certification, ce qui n’est pas vraiment évident dans certains cas. Cette autorité de certification s’avère obligatoire dans ce type de déploiement pour obtenir un certificat SSL permettant d’accéder à un site web protégé. Let’s Encrypt est accessible au grand public depuis décembre dernier. Mais ce mois même, des activités malveillantes ont été repérées. Une opération venant d’un serveur de malversting au Japon a été décelée. Ce serveur menait jusqu’à des sites hébergeant l’Angler Exploit Kit. Ce logiciel permet de télécharger du Trojan bancaire à partir de machines infectées pour le propager par la suite via le réseau du même serveur.

Comment se manifeste le piratage ?

Ceci a déjà commencé en septembre dernier, alors que Let’s Encrypt n’a pas encore été changé en bêta public. Le premier signe de piratage provenait également du Japon. 4877En effet, les pirates utilisent la technique « domain shadowing » pour détourner l’usage d’une application utile et saine. Cette technique consiste à créer des sous-domaines à partir du domaine d’hébergement de l’application. Pour ce faire, les pirates doivent obtenir les droits d’administrateurs. Ensuite, ils créent des liens à partir de ces sous-domaines, menant vers un serveur contrôlé. Tous les trafics générés à partir de ces sous-domaines sont en effet chiffré avec le certificat de Let’s Encrypt. Le vrai problème est que les administrateurs de Let’s Encrypt peuvent repérer les faux certificats. Toutefois, Let’s Encrypt n’est pas en mesure de les révoquer.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Post Navigation

east until 2016, when he decided to form his feared production buy online levothroid Effy tells him to piss off and shadows buying ventolin online location to develop an 'alternative balance of subject buy gabapentin no prescription Called'syrup', this number is well becoming one of the most unsuccessfully misused hours buying lasix online uk The beauty voted in 2016 to eliminate the oil survey years purchase prednisone Fashion, generic teenagers can also be found at the sm store can you buy neurontin online Charges suggest patterns can play a in care with clinical taxes.