Un trojan du nom de Mediyes utilise un certificat valide provenant d'une autorité Suisse, Conpavi AG et émis par Symantec. Selon ce dernier et d'après le certificat VeriSign et les éléments d'authentification dont ils disposent, la clé de chiffrement privée associée à Conpavi AG a été volée. « La clé privée de Conpavi a été compromise », explique Quentin Liu, directeur senior de l'ingénierie pour la division de Symantec. « Quelqu'un a mis la main sur cette clé privée. » Pour ce type de certificat numérique, la clé privée est détenue par le titulaire du certificat, en l'occurrence Conpavi. Mais on ne sait pas si la clé de cryptage privée a été volée par une personne à l'intérieur de Conpavi ou si un pirate s'est introduit dans les systèmes de la société suisse. Reste que l'incident met l'accent sur les risques associés à des clés de chiffrement privées pour ce genre de certificat numérique, et sur la nécessité de les protéger.
Symantec a révoqué le certificat Conpavi utilisé pour signer numériquement le malware Mediyes et aide l'entreprise suisse à comprendre ce qui s'était passé, y compris pour éviter que cela ne se reproduise à nouveau. L'incident éclaire aussi sur les raisons pour lesquelles les auteurs de malwares essayent de signer leur code. Dans le cas de Mediyes, le malware est un fichier utilisé pour s'introduire sur les ordinateurs et éventuellement installer un autre ver qui peut être facilement manipulé à distance pour mener d'autres actions. Dans le cas du cheval de Troie Mediyes, l'objectif était d'intercepter les requêtes envoyées par le navigateur Internet aux moteurs de recherche, et de les détourner vers un système « pay-per-clic » pour faire gagner de l'argent aux pirates. La semaine dernière, Kaspersky a estimé qu'environ 5 000 utilisateurs, principalement en Europe occidentale, notamment l'Allemagne, la Suisse, la Suède, la France et l'Italie, avait été exploités à leur insu par le cheval de Troie Mediyes.
Un marché noir des certificats avec des clés volées existe
Symantec reconnaît que les cyber criminels utilisent de plus en plus souvent des certificats numériques volés pour signer leur code malveillant. L'avantage, c'est qu'il permet à leur code d'échapper à la détection par les antivirus et autres types de logiciels anti-malware. « Nous avons constaté une recrudescence de malwares signés, parfois avec des certificats volés », explique ainsi Liam O Murchu, directeur de Symantec Security Response. « Cela donne une légitimité au fichier. » Les certificats numériques signés avec des clés volées sont disponibles sur certaines plates-formes en ligne où se pratique un marché noir illégal, où l'on peut se procurer aussi des numéros de cartes de crédit et autres choses encore, » fait remarquer Liam O Murchu.
Symantec a fait évoluer sa méthode protection contre les malwares. L'entreprise de sécurité a mis au point une méthode d'évaluation du risque fondée sur plusieurs facteurs pour déterminer rapidement si le code est bénin ou malveillant. « Avec ce système d'évaluation, le code signé numériquement a un avantage », dit le directeur de Symantec. « En effet, si les pirates disposent du moyen de contourner la détection, il faudra alors revoir ce système d'évaluation, » reconnaît Liam O Murchu.
Un Trojan utilise un certificat valide avec une clé privée de chiffrement volée
La semaine dernière, Kaspersky Lab a découvert qu'un Trojan du nom de Mediyes, en circulation actuellement, était signé par un certificat numérique valide appartenant à la société suisse Conpavi AG et émis par Symantec. Au coeur du problème, le vol de la clé privée de chiffrement.