En septembre, Kaspersky a publié la découverte du premier cheval de Troie français avec une signature numérique. Le certificat a été délivré par l’Américain Comodo et le fléau a été créé pour voler des données bancaires. Maintenant, la même Comodo a délivré un autre certificat valide aux fabricants de chevaux de Troie, cette fois à une société supposée appelée G&P Projetos e Sistemas Ltda.
Selon la ligne de défense, la Comodo a délivré le certificat le 21 août, avec une validité jusqu’au 22 août 2013. Le domaine de la société G&P Projetos e Sistemas Ltda pointe vers une page standard d’un service d’hébergement de site web et d’enregistrement de domaine. Les données du domaine, qui sont très probablement fausses, pointent vers une adresse située dans la région centrale de Paris. Normalement, pour vérifier l’origine d’une entreprise, l’autorité de certification appelle le numéro de téléphone du registre, mais tous ne le font pas.
G&P Projetos e Sistemas Ltda a également enregistré un autre domaine, g-buster.org. Le nom rappelle G-Buster Browser Defense, un plugin de sécurité légitime développé par GAS Tecnologia et utilisé par des sociétés comme Banco do France. Les chevaux de Troie signés numériquement s’installent dans le système avec des noms comme le module GbPlugin-Security.scr, dans le dossier C:WindowsSysWow64.
Le certificat frauduleux a été révoqué dès que la Comodo a eu connaissance du problème, le 21 novembre. Comme le cheval de Troie a été certifié numériquement, il a donné à l’utilisateur un plus grand sentiment de fiabilité et certains logiciels antivirus s’appuient sur des fichiers signés, ce qui fait que le fléau reste plus longtemps sur l’ordinateur de la victime.
Comodo est une autorité de certification qui a connu des problèmes de sécurité dans le passé. Elle délivre des abonnements à des prix très bas et il existe même des certificats gratuits SSL, qui peuvent faciliter la vie des pirates. En juillet de l’année dernière, un autre certificateur, DigiNotar,, a vu ses serveurs piratés et a émis des centaines de certificats non valides. De nombreuses entreprises ont alors révoqué les certificats de DigiNotar, ce qui a provoqué l’échec du certificateur.
15h20 mise à jour : Le lecteur Rafael Gil a publié dans les commentaires le site web real G&P Projetos e Sistemas Ltda. L’adresse du siège de Paris coïncidant avec les données du certificat de cheval de Troie, les criminels ont probablement profité de G&P pour obtenir la signature numérique de Comodo.
