Combien de certificats de signature de code ont été volés lors de la violation DigiCert ?

27 certificats de signature de code ont été volés lors de la violation. Ils ont ensuite été utilisés pour signer des logiciels malveillants avant que DigiCert ne les révoque.

Comment les attaquants ont-ils obtenu l'accès aux systèmes de DigiCert ?

Les attaquants ont eu recours à l'ingénierie sociale pour manipuler deux employés du support technique afin qu'ils fournissent un accès aux systèmes dorsaux. Aucune vulnérabilité logicielle ni technique de force brute n'a été impliquée.

Qu'est-ce qu'un certificat de signature de code et pourquoi est-il précieux pour les attaquants ?

Un certificat de signature de code est une signature numérique émise par une autorité de certification de confiance qui vérifie qu'un logiciel provient d'une source légitime et n'a pas été altéré. Les attaquants qui en obtiennent un peuvent signer des logiciels malveillants pour les faire paraître dignes de confiance aux yeux des systèmes d'exploitation et des outils de sécurité.

La révocation des certificats volés protège-t-elle immédiatement les utilisateurs ?

La révocation est la réponse appropriée, mais elle ne fournit pas une protection instantanée, car les vérifications de révocation ne sont pas toujours appliquées en temps réel. Certains systèmes ou configurations peuvent ne pas reconnaître immédiatement qu'un certificat précédemment valide n'est plus digne de confiance.

Pourquoi le personnel du service d'assistance et du support est-il fréquemment ciblé dans les attaques d'ingénierie sociale ?

Le personnel de support est souvent ciblé parce que son travail exige d'être serviable et réactif, ce qui le rend plus susceptible d'être manipulé. Les attaquants se font couramment passer pour des collègues, des fournisseurs ou des demandes internes urgentes afin de pousser le personnel à contourner les procédures de vérification habituelles.

Piratage du portail de support DigiCert : 27 certificats de signature de code volés

Une violation chez l'une des autorités de certification les plus fiables d'Internet a soulevé de sérieuses questions sur la sécurité de la chaîne d'approvisionnement logicielle. DigiCert, un important fournisseur de certificats numériques utilisés pour vérifier l'authenticité des logiciels et des sites web, a confirmé que des attaquants ont eu recours à l'ingénierie sociale pour compromettre deux de ses employés du support technique, obtenant ainsi un accès aux systèmes dorsaux et volant 27 certificats de signature de code. Ces certificats ont ensuite été utilisés pour signer des logiciels malveillants avant que DigiCert ne les révoque.

Cet incident rappelle que même les organisations chargées de maintenir la confiance numérique ne sont pas à l'abri des attaques ciblant les individus.

Que sont les certificats de signature de code et pourquoi sont-ils importants ?

Lorsque vous téléchargez un logiciel, votre système d'exploitation vérifie souvent s'il est accompagné d'une signature numérique valide. Cette signature, émise par une autorité de certification de confiance comme DigiCert, est censée confirmer que le logiciel provient d'une source légitime et n'a pas été altéré. Il s'agit d'un élément central de la façon dont les systèmes d'exploitation modernes, de Windows à macOS, aident les utilisateurs à distinguer les logiciels fiables des imposteurs malveillants.

Lorsque des attaquants s'emparent de certificats de signature de code légitimes, ils peuvent envelopper des logiciels malveillants d'un manteau de légitimité. Les outils de sécurité, les avertissements du système d'exploitation, et même certains systèmes de protection des points de terminaison en entreprise peuvent traiter par défaut les logiciels signés comme fiables. Un utilisateur téléchargeant ce qui semble être une application signée et vérifiée dispose de moins de signaux visuels pour l'avertir qu'il se passe quelque chose d'anormal.

Dans ce cas, 27 certificats volés ont été activement utilisés pour signer des logiciels malveillants avant que DigiCert n'identifie la violation et ne les révoque. La révocation est la réponse appropriée, mais elle ne constitue pas une protection instantanée. Les vérifications de révocation ne sont pas toujours appliquées en temps réel, et certains systèmes ou configurations peuvent ne pas reconnaître immédiatement qu'un certificat précédemment valide n'est plus digne de confiance.

Comment l'attaque s'est produite : l'ingénierie sociale au service d'assistance

La méthode utilisée pour obtenir l'accès mérite une attention particulière. Les attaquants n'ont pas exploité une vulnérabilité logicielle non corrigée ni forcé un pare-feu par force brute. Ils ont ciblé des personnes. Deux employés du support technique ont été manipulés pour fournir un accès aux systèmes dorsaux, une technique communément appelée ingénierie sociale.

Le personnel du service d'assistance et du support est fréquemment ciblé de cette manière parce que leur travail exige d'eux d'être serviables et réactifs. Les attaquants se font souvent passer pour des collègues, des fournisseurs ou des demandes internes urgentes afin de pousser le personnel de support à contourner les procédures de vérification habituelles.

Cette attaque suit un schéma bien établi, observé lors de violations dans de grandes organisations de divers secteurs. La leçon à en tirer n'est pas que DigiCert a fait preuve d'une négligence particulière. C'est que l'ingénierie sociale demeure l'un des vecteurs d'attaque les plus efficaces disponibles, indépendamment de la sophistication des défenses techniques de la cible.

Ce que cela signifie pour vous

Si vous téléchargez des logiciels de sécurité, des clients VPN ou toute application depuis Internet, cet incident a une pertinence directe pour vos pratiques personnelles en matière de sécurité.

Premièrement, télécharger des logiciels uniquement depuis des sources officielles et primaires est plus important que jamais. Une signature de certificat est un signal utile, mais elle n'est pas infaillible, comme le démontre cette violation. Évitez de télécharger des logiciels depuis des boutiques d'applications tierces, des sites miroirs ou des liens partagés via les réseaux sociaux ou par e-mail, à moins d'avoir vérifié la source de manière indépendante.

Deuxièmement, maintenir votre système d'exploitation et vos logiciels de sécurité à jour garantit que les certificats révoqués sont reconnus comme invalides sur votre appareil. Les listes de révocation de certificats et les mises à jour OCSP (Online Certificate Status Protocol) sont distribuées via les mises à jour du système et du navigateur. Un système obsolète peut continuer à faire confiance à un certificat qui a déjà été révoqué.

Troisièmement, pour les utilisateurs de VPN ou de logiciels de sécurité en particulier, il vaut la peine de vérifier périodiquement l'origine de vos installations et si le fournisseur a communiqué des avis de sécurité. Les fournisseurs réputés divulgueront les problèmes affectant leur pipeline de distribution de logiciels.

Pour les organisations, cet incident renforce l'argument en faveur de l'exigence d'une authentification multifacteur pour tout le personnel de support et administratif, de la mise en œuvre de procédures de vérification strictes avant d'accorder tout accès, et de l'audit des employés pouvant accéder aux systèmes sensibles de gestion des certificats.

Points d'action concrets

Téléchargez les logiciels uniquement depuis les sites officiels des fournisseurs. Évitez les agrégateurs de téléchargement tiers, même pour les applications bien connues.
Maintenez votre système d'exploitation et vos navigateurs à jour. Les données de révocation sont transmises via les mises à jour. Un système obsolète peut ne pas reconnaître les certificats compromis.
Consultez les avis de sécurité des fournisseurs. Si vous utilisez un logiciel signé par DigiCert, visitez la page de sécurité officielle du fournisseur pour confirmer si l'un de vos logiciels installés est concerné.
Méfiez-vous des mises à jour logicielles inattendues. Si vous recevez une invite non sollicitée pour mettre à jour une application, vérifiez via l'application elle-même plutôt qu'en cliquant sur un lien externe.
Les organisations doivent auditer leurs magasins de confiance de certificats. Les équipes de sécurité doivent examiner les certificats approuvés dans leurs environnements et s'assurer que la vérification de révocation est appliquée.

La réponse de DigiCert, notamment la révocation des certificats concernés, est appropriée et attendue. Mais la leçon plus large est que l'infrastructure de confiance sous-jacente à la distribution de logiciels repose autant sur des processus humains que sur des processus techniques. Comprendre d'où vient cette confiance, et où elle peut se rompre, vous place dans une meilleure position pour vous protéger.