Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Blogs

Comment Censys Search aide à prévenir les attaques de phishing en surveillant les certificats SSL/TLS

Même avec les progrès de l'IA, les cybermenaces traditionnelles continuent de sévir. Plus une tactique est utilisée depuis longtemps, plus les attaquants ont le temps de maîtriser leurs techniques et de lancer des attaques adverses réussies. En fait, les attaques par hameçonnage restent l'une des cybermenaces les plus répandues, et si l'hameçonnage reste une tactique de longue date, les améliorations de l'IA n'ont fait que renforcer le succès des efforts d'ingénierie sociale. En bref, malgré le temps et la technologie, les attaques de phishing sont toujours capables de faire des ravages.

Selon une étude réalisée par Proofpoint, 71 % des organisations ont été victimes d'attaques par hameçonnage au cours de l'année écoulée. Les résultats des attaques par hameçonnage réussies comprennent la perte de données et d'adresses IP (33 %), l'infection par un ransomware (32 %) et des pénalités financières (22 %). Alors que le phishing est généralement ciblé par le biais du courrier électronique, la gestion et la surveillance des certificats SSL/TLS constituent un aspect négligé et pourtant essentiel de la prévention de l'hameçonnage.

Le lien entre les attaques de phishing et les certificats SSL/TLS réside dans le rôle que jouent ces certificats dans l'établissement de la confiance et la sécurisation des communications en ligne. Les attaquants exploitent les faiblesses des certificats SSL/TLS, leur mauvaise gestion ou la confiance mal placée des utilisateurs à leur égard pour mener des attaques d'hameçonnage.

Établir la confiance grâce aux certificats SSL/TLS

Les certificats SSL/TLS sont utilisés pour sécuriser les sites web en cryptant les communications entre l'utilisateur et le serveur. Lorsque les utilisateurs voient l'icône du cadenas ou la mention "HTTPS" dans la barre d'adresse de leur navigateur, ils supposent souvent que le site web est sûr et légitime.

Les hameçonneurs exploitent cette confiance de deux manières :

  • Obtention de certificats pour de faux sites : Les attaquants peuvent obtenir des certificats SSL/TLS valides pour des sites de phishing qui imitent des sites légitimes. De nombreuses autorités de certification (AC) émettent des certificats sans vérifier minutieusement l'intention du demandeur, ce qui permet aux pirates de faire passer leurs sites frauduleux pour des sites crédibles.
  • S'appuyer sur une confiance erronée de la part des utilisateurs : De nombreux utilisateurs pensent que la présence d'un cadenas garantit la légitimité d'un site, alors qu'il n'indique qu'une connexion sécurisée, et non que le site est digne de confiance.

Exploitation de certificats expirés ou mal configurés

Les organisations qui ne gèrent pas correctement leurs certificats SSL/TLS peuvent involontairement favoriser les attaques de phishing :

  • Certificats expirés : Si le certificat SSL/TLS d'un site web légitime expire et n'est pas renouvelé, les pirates peuvent exploiter cet oubli. Ils peuvent créer des sites d'hameçonnage usurpant l'identité du domaine légitime, trompant ainsi les utilisateurs qui ont l'habitude d'interagir avec le site.
  • Certificats mal configurés : Les configurations faibles ou l'utilisation de protocoles obsolètes peuvent introduire des vulnérabilités que les attaquants exploitent, telles que les attaques de dépouillement ou de rétrogradation du SSL. Ces faiblesses peuvent aider les hameçonneurs à intercepter le trafic ou à manipuler les connexions sécurisées.

Utilisation d'autorités de certification (AC) malhonnêtes ou compromises

Les hameçonneurs peuvent s'appuyer sur des autorités de certification compromises ou malhonnêtes pour émettre des certificats SSL/TLS valides pour des domaines frauduleux. Grâce à ces certificats, les sites web de phishing semblent authentiques, même pour les utilisateurs prudents qui vérifient la présence de HTTPS.

Le phishing comme vecteur d'attaque

Dans les campagnes de phishing, les attaquants utilisent souvent des noms de domaine et des certificats SSL/TLS qui ressemblent beaucoup à des certificats légitimes. En voici un exemple :

  • Attaques par homographe: Les attaquants enregistrent des domaines en utilisant des caractères qui ressemblent à des caractères légitimes (par exemple, en remplaçant "m" par "rn"). Associés à un certificat SSL/TLS valide, ces faux domaines peuvent facilement tromper les utilisateurs.
  • L'hameçonnage de type Man-in-the-Middle (MITM) : en exploitant les vulnérabilités de SSL/TLS, les attaquants peuvent se positionner entre l'utilisateur et le site web légitime, et intercepter les informations d'identification ou d'autres données sensibles.

Sans une surveillance adéquate, les organisations peuvent s'exposer à ces risques par inadvertance.

Prévenir l'hameçonnage grâce à une gestion proactive des certificats

Censys Search offre aux organisations une visibilité inégalée sur les certificats SSL/TLS sur Internet. Grâce à la plus grande base de données de certificats X.509 au monde, qui contient plus de 17 milliards de certificats et ne cesse de croître,Censys permet aux équipes de sécurité d'identifier et de traiter les vulnérabilités avant qu'elles ne soient exploitées.

Censys La recherche peut contribuer à réduire les risques d'hameçonnage :

  • Suivi des certificats expirés ou mal configurés : Censys permet aux organisations de surveiller de manière proactive leurs certificats SSL/TLS. En identifiant les certificats expirés ou mal configurés, les équipes de sécurité peuvent agir rapidement pour les mettre à jour ou les remplacer, empêchant ainsi les attaquants d'exploiter ces faiblesses.
  • Identification des autorités de certification (AC) : En fournissant des informations détaillées sur les autorités de certification utilisées par une organisation, Censys permet de s'assurer que seules des autorités de certification de confiance émettent des certificats pour ses domaines. Cela réduit le risque que des attaquants utilisent des autorités de certification malhonnêtes pour générer des certificats malveillants.
  • Garantir la sécurité des certificats : Les équipes de sécurité peuvent utiliser Censys pour vérifier que tous les certificats respectent les meilleures pratiques actuelles en matière de cryptage et de configuration. Cela permet de minimiser les vulnérabilités telles que celles exploitées par les anciennes techniques d'attaque (par exemple, le dépouillement du SSL ou POODLE).

Exemple concret : Comment lancer une recherche sur Censys pour les certificats SSL/TLS ?

Voyons comment Censys peut vous aider à trouver des certificats expirés liés à votre organisation. Nous pouvons commencer par une requête qui utilise des expressions régulières (regex) pour énumérer votre recherche de certificats avec un haut degré de fidélité. Dans cette hypothèse, nous dirons que le nom de votre organisation est ACME.

((services.tls.certificate.names=/(.*)acme.(.*)/ ou name=/(.*)acme.(.*)/)

ou dns.names=/(.*)acme.(.*)/ ou dns.reverse_dns.names=/(.*)acme.(.*)/))

À partir de là, nous pouvons ajouter une clause qui examine la durée de validité des certificats renvoyés. Choisissons-en un qui n'a plus aucune durée de vie.

((services.tls.certificate.names=/(.*)acme.(.*)/ ou name=/(.*)acme.(.*)/ ou

dns.names=/(.*)acme.(.*)/ ou dns.reverse_dns.names=/(.*)acme.(.*)/)) et

services.tls.certificate.parsed.validity_period.length_seconds=0 

Nous obtenons ainsi tous les certificats exposés. Cependant, nous pouvons encore chercher plus loin. Quels émetteurs de certificats utilisez-vous ? Nous allons ajouter une autre clause qui exclut les certificats de votre émetteur approuvé. Dans cette hypothèse, nous dirons qu'il s'agit de Let's Encrypt.

(((services.tls.certificate.names=/(.*)acme.(.*)/ or name=/(.*)acme.(.*)/

ou dns.names=/(.*)acme.(.*)/ ou dns.reverse_dns.names=/(.*)acme.(.*)/) et

(services.tls.certificate.parsed.validity_period.length_seconds=0) et

not (services.tls.certificate.parsed.issuer.organization : encrypt))) 

Avec seulement trois requêtes, nous avons réussi à réduire 20 téraoctets de données de certificats à une petite poignée de certificats pertinents.

La recherche proactive pour garder une longueur d'avance sur le paysage des menaces

Censys offre de nombreux autres moyens d'interroger les données afin de mettre en évidence les vulnérabilités potentielles et de réduire les risques de sécurité liés aux certificats.

Vous pouvez obtenir un aperçu approfondi des nombreuses façons dont Censys Search peut vous aider à garder une longueur d'avance sur les adversaires et à protéger votre organisation contre les cyber-menaces. Qu'il s'agisse de repérer une infrastructure malveillante, d'identifier des services vulnérables ou de surveiller les risques liés aux tiers, notre guide "Unleash the Power of Censys Search : A Hassle-Free Handbook for Cyber Heroes" peut être votre ressource de référence. Téléchargez ce guide complet dès maintenant pour découvrir le pouvoir proactif de Censys dans la détection des risques potentiels et le renforcement de votre posture de sécurité.

Lire le guide

A propos de l'auteur

Marianne Chrisos Censys Responsable du marketing de contenu
Marianne Chrisos
Responsable du marketing de contenu
Marianne Chrisos est responsable du marketing de contenu à l'adresse Censys. Elle possède plus d'une décennie d'expérience dans la rédaction, la recherche et la stratégie de contenu, en particulier dans les secteurs de la technologie et de la cybersécurité. Ayant travaillé avec des leaders tels que Cisco et Gartner, elle combine la connaissance de l'industrie avec la narration stratégique pour aider les organisations à naviguer dans le paysage évolutif de la sécurité.

Contenu similaire

Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus