La NSA a récemment publié un avertissement concernant un type d'attaque spécifique, connue sous le nom de technique ALPAGA. Peu dit, l'Agence met en garde les administrateurs de réseau du risque d'utilisation “Sécurité de la couche de transport générique mal étendue (TLS) certificats.”
Les directives de la NSA contiennent également des détails sur la soi-disant attaque ALPACA, ou protocoles de couche d'application permettant des attaques inter-protocoles. Cette technique permet aux cybercriminels d'accéder à des informations sensibles.
Tout d'abord, qu'est-ce qu'un certificat générique? C'est un certificat de clé publique qui peut être utilisé avec plusieurs sous-domaines d'un domaine. Appliqué principalement pour les sites Web de sécurité avec HTTPS, ce type de certificat peut être utilisé dans de nombreux autres domaines, aussi.
“Les certificats génériques sont utilisés pour authentifier plusieurs serveurs et simplifier la gestion des informations d'identification, gain de temps et d'argent. Cependant, si un serveur hébergeant un certificat générique est compromis, tous les autres serveurs pouvant être représentés par le certificat générique sont mis en danger. Un cyberacteur malveillant avec la clé privée d'un certificat générique peut usurper l'identité de l'un des sites dans la portée du certificat et accéder aux informations d'identification de l'utilisateur et aux informations protégées,” La NSA a dit.
L'attaque de l'ALPAGA: Atténuations
Quant à la technique ALPAGA, il exploite des applications Web renforcées via des services non HTTP sécurisés avec un certificat TLS avec des étendues correspondant à l'application Web. La technique augmente le risque déjà existant d'utiliser des certificats génériques mal étendus, l'Agence a ajouté.
Pour atténuer ce risque, La NSA recommande les actions suivantes:
- Comprendre la portée de chaque certificat générique utilisé dans votre organisation
- Utilisation d'une passerelle d'application ou d'un pare-feu d'application Web devant les serveurs, y compris les serveurs non HTTP
- Utilisation de DNS cryptés et validation des extensions de sécurité DNS pour empêcher la redirection DNS
- Activation de la négociation de protocole de couche d'application (APLN), une extension TLS qui permet au serveur/à l'application de spécifier les protocoles autorisés dans la mesure du possible
- Maintenir les navigateurs Web à la dernière version avec les mises à jour actuelles