Retard de chiffrement: une nouvelle méthode pour échapper aux mécanismes de détection

Une nouvelle méthode, nommée Cipher Stunting pour éviter les mécanismes de détection utilisés par les entreprises de sécurité, qui constitue l’objectif principal des cybercriminels, a été découverte par les chercheurs d’Akamai. Ceci est basé sur la randomisation des signatures SSL / TLS. Il a été créé au début de 2018.

“Au cours des derniers mois, des attaquants ont altéré les signatures SSL / TLS à une échelle jamais vue par Akamai”, ont indiqué les chercheurs.

“Les empreintes digitales TLS observées par Akamai avant le retard de chiffrement pouvaient être comptées par dizaines de milliers. Peu de temps après l’observation initiale, ce nombre a été gonflé à des millions, puis à des milliards. “

Si vous analysez le chiffre, qui s’élève à 18 652 empreintes digitales distinctes en août 2018 et après les campagnes TLS de septembre dernier, ce chiffre a atteint 255 millions en octobre, la forte augmentation est due à l’attaque contre les sites Web des compagnies aériennes, bancaires et de rencontres . Ces sites Web sont également les principales cibles des informations d’identification et du vol de contenu. À la fin de cette année, leur nombre était passé à 1 355 334 179 milliards.

Les empreintes digitales sont importantes

“Observer le comportement des clients lors de l’établissement d’une connexion TLS est bénéfique pour les empreintes digitales, nous permettant ainsi de différencier les attaquants des utilisateurs légitimes. Lorsque nous effectuons les empreintes digitales, nous visons à sélectionner les composants de la négociation par tous les clients. Dans le cas des négociations SSL / TLS, le composant idéal pour les empreintes digitales est le message ‘Client Hello’, en texte clair, obligatoire pour chaque poignée de main. “

L’impression digitale aide à distinguer les clients légitimes et les imitateurs, la détection proxy et IP partagée et les terminateurs TLS.

“Le trafic observé qui entraînait de nombreuses modifications de TLS avec Client Hello provenait de scrapers, de robots de recherche et de comparateurs.”

En août 2018, Akamai a observé 18 652 empreintes digitales distinctes dans le monde (soit 0,00000159% de toutes les empreintes digitales potentielles). Certaines de ces empreintes digitales sont présentes dans plus de 30% de tout le trafic Internet, et sont principalement attribuables aux piles de clients TLS du navigateur commun et du système d’exploitation. À ce moment-là, il n’y avait aucune preuve de manipulation du Client Hello ou de tout autre composant d’empreintes digitales.

Avec la falsification de TLS effectuée par randomisation de chiffrement, comme mentionné dans l’article de février 2019, la falsification de TLS a bondi de près de 20% à 1 355 334 179 milliards des données en septembre 2018.