Des milliers de serveurs non sécurisés sur des sites populaires

Le site Rapport de télémétrie TLS 2021 de F5 Labs, un fournisseur de solutions cloud et de sécurité, a analysé 1 million des sites web les plus importants du monde. Selon cette étude, les pirates exploitent de plus en plus Transportation Layer Security (TLS) à leur avantage dans les campagnes de phishing. TLS, également connu sous le nom de Secure Sockets Layer (SSL), est un protocole de cryptage pour la transmission sécurisée des données sur Internet, ce qui rend son utilisation abusive d'autant plus grave. Plus de la moitié des serveurs Web autorisent encore l'utilisation de clés RSA peu sûres.

Des serveurs non sécurisés derrière des sites web importants

En outre, selon F5 Labs, les nouvelles techniques de fingerprinting soulèvent des questions sur la propagation des serveurs de logiciels malveillants qui se cachent dans les principaux sites web. "Plus que jamais, tant les États-nations que les cybercriminels tentent de contourner le chiffrement fort", explique David Warburton, Senior Threat Research Evangelist chez F5 et auteur de l'étude. "Face à ces risques omniprésents, il n'a jamais été aussi important qu'aujourd'hui d'utiliser des configurations HTTPS fortes et à jour. Cela est particulièrement vrai lors de l'utilisation de certificats numériques de différents services".

Deux pas en avant, un pas en arrière

Selon F5 Labs, le protocole TLS 1.3, plus rapide et plus sûr, est de plus en plus utilisé. Pour la première fois, TLS 1.3 était disponible pour la plupart des serveurs web sur le Liste des 1M de Tranco le protocole de cryptage de choix. Près de 63 pour cent des serveurs préfèrent désormais TLS 1.3, tout comme plus de 95 pour cent de tous les navigateurs utilisés activement. Aux États-Unis et au Canada, jusqu'à 80 % des serveurs web utilisent même TLS, alors qu'en Chine ou en Israël, ils ne sont que 15 %.

L'autorisation d'autorité de certification DNS (CAA) peut empêcher la délivrance frauduleuse de certificats. De 2019 (1,8 % des sites web) à 2021 (3,5 %), on constate certes une nette augmentation de l'utilisation, mais elle reste à un niveau très bas. Il est également inquiétant de constater que si presque tous les serveurs de la liste de tête privilégient les accords de clés Diffie-Hellman sécurisés, 52 % des serveurs autorisent toujours l'échange de clés RSA, peu sûr, mentionné au début de cet article.

En outre, les analyses de F5 Labs ont montré que les méthodes de révocation des clés sont presque totalement inutilisables. C'est pourquoi les autorités de certification (AC) et les fabricants de navigateurs veulent de plus en plus se tourner vers des certificats à très court terme. La révocation d'un certificat volé est beaucoup plus simple si celui-ci expire de toute façon dans quelques semaines. Actuellement, la durée de vie la plus fréquente des certificats est de 90 jours, ce qui vaut pour un peu plus de 42 % de tous les sites web.

Augmentation des risques de sécurité

Le nombre de sites de phishing utilisant HTTPS avec des certificats valides a augmenté de 70 % en 2019 à près de 83 % en 2021. Environ 80 % des sites malveillants proviennent de seulement 3,8 % des fournisseurs d'hébergement. Les phishers préfèrent Fastly, suivi de près par Unified Layer, Cloudflare et Namecheap.

Les marques les plus souvent contrefaites dans les attaques de phishing sont Facebook et Microsoft Outlook/Office 365. Parallèlement, les données de connexion volées sur ces sites ont une grande valeur, notamment parce que de nombreux autres comptes les utilisent comme fournisseur d'identité (IdP) ou fonction de réinitialisation du mot de passe. En outre, F5 Labs a constaté que les plateformes de messagerie Web sont presque aussi souvent imitées que Facebook pour mener des attaques de phishing, avec 10,4 %.

Source : F5 Labs