L’utilisation des services bancaires en ligne se généralise, mais elle appelle aussi à la prudence. Lors d’une banale navigation sur le site d’American Express, nous avons eu la surprise d’être alertés par Chrome sur sa sécurité… Piratage en règle ? Utilisateur distrait ? Navigateur trop chatouilleux ? Simple bévue d’une des institutions de crédit Américaine les plus connues dans le monde ? Nous livrons ici les fruits de notre enquête, afin que cette expérience soit utile à d’autres !
Première hypothèse : le piratage.
Après tout, il semble que chaque semaine apporte son lot d’attaques : semaine noire des cyberattaques en mai 2017, le phishing par redirection, le mois de la cybersécurité etc. Le site en question pourrait lui aussi avoir été victime de criminels ? Pourtant, la page principale du site ne mentionnait aucune information. Il n’y avait rien non plus sur le fil Twitter ou la page Facebook de l’entreprise, alors que les réseaux sociaux sont très souvent utilisés par les entreprises pour avertir leurs clients d’un problème technique. De quoi être rassuré, après avoir bien sûr vérifié que le profil Twitter était « certifié » avec une petite encoche bleue, pour s’assurer que les informations venaient bien d’une source fiable.
Seconde hypothèse : la distraction de l’utilisateur.
Bien sûr, client ou lecteur de SafeBrands, vous êtes un utilisateur d’Internet averti et au fait des bonnes pratiques en matière de sécurité ! Malgré tout, nous sommes toujours susceptibles de lire un e-mail trop rapidement ou de cliquer sur un lien qui ne reprenne pas le nom de domaine principal de l’organisme financier, comme c’était d’ailleurs le cas ici. Sauf que l’alerte est apparue alors nous avions cliqué sur un lien depuis le site principal (dûment authentifié) de l’organisme, pas dans un courriel ou dans une discussion en ligne. Si un nom de domaine générique comme « votrecarteauquotidien.fr » devrait légitimement interpeler tout Internaute parce que trop vague, y arriver depuis le site légitime AmericanExpress.fr est un bon indice de fiabilité.
Troisième hypothèse : un dommage collatéral de la guerre navigateurs-certificats ?
On sait que les navigateurs (et au premier chef Google Chrome Chrome, leader du marché en termes de nombre d’utilisateurs) redoublent d’efforts pour lutter contre la fraude en ligne et jouent de tout leur poids pour inciter les gestionnaires de site à moderniser leurs pratiques de sécurité parfois en (ab)usant de messages anxiogènes qui aboutissent souvent à effrayer l’utilisateur que l’on souhaite protéger. Pourtant les informations glanées dans le navigateur montrent bien que le certificat est au format SHA-256, ce qui indique qu’il a une clé de chiffrement beaucoup plus solide que ceux utilisants le format SHA-1 aujourd’hui jugé trop peu fiables et enfin tombés en désuétude.
Bien sûr, on doit reprocher au site votrecarteauquotidien.fr d’utiliser un certificat « Domain Validated » qui se base uniquement sur le contenu du WHOIS attaché au nom (rarement vérifié et très facilement falsifiable) pour établir le lien entre le nom de domaine et la société qui l’a enregistré. Ce type de certificat basique n’est pas à la hauteur des enjeux de sécurité d’une entreprise de cette taille (SafeBrands n’en propose d’ailleurs pas à ses clients).
Surtout, le certificat EV afficherait la raison sociale de l’entreprise « American Express » à côté de l’URL, une façon de lever toute ambigüité entre le terme générique VotreCarteAuQuotidien.fr et l’organisme financier qui le gère. Malgré tout, les navigateurs ne sanctionnent pas (encore ?) l’utilisation de certificats DV, il faut donc chercher ailleurs la cause de l’alerte !
Quatrième hypothèse : la légèreté de l’entreprise ?
Pas d’attaque répertoriée, un utilisateur a priori hors de cause et un certificat apparemment légitime… La solution impliquait de creuser encore les informations contenues dans le certificat. Grâce à un outil développé en interne, nous avons eu accès rapidement à tous les certificats liés à un domaine et à leurs attributs, notamment leurs dates de création et de renouvellement.
En effet, comme les noms de domaine qu’il faut renouveler chaque année pour qu’ils n’expirent pas, les certificats ont une durée de vie limitée, plus encore depuis que le CA/B Forum a discrédité les certificats de plus de deux ans. Ici, c’est la date d’expiration du 7/10/2017 qui donne la clé de l’énigme : c’était ce samedi, et le certificat avait donc expiré lorsque nous avons souhaité accéder au site… Une raison suffisante pour que Chrome ait jugé bon de l’avertir, mais une mésaventure bien embarrassante pour l’entreprise en question… Qui n’a d’ailleurs renouvelé le certificat que trois jours plus tard puisque l’erreur, enfin corrigée depuis, apparaissait encore le 10 au matin.
Loin de vouloir accabler l’entreprise en question, nous pensons que cette affaire est un exemple qui peut faire réfléchir toute entreprise utilisant des certificats pour sécuriser ses relations avec les clients de son site. Les équipes de spécialistes de SafeBrands peuvent vous conseiller parmi toute une gamme de certificats pour sécuriser votre site. Bien entendu vous profiterez de l’encadrement et du support de SafeBrands pour savoir quoi faire, bien avant leur expiration !