Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.

Le projet MPIC ouvert se défend contre les attaques BGP contre la validation du certificat

Lucas Morel

Open MPIC fournit aux autorités des certificats un cadre open source pour la mise en œuvre de la validation multi-perspective, protégeant contre les attaques de détournement de BGP qui menacent l’infrastructure de fiducie du Web.

Le détournement du protocole Border Gateway (BGP) a depuis longtemps représenté une vulnérabilité critique dans l’infrastructure d’Internet, permettant aux attaquants de rediriger silencieusement le trafic entre les points de terminaison. Le risque est si grand que le gouvernement américain l’a même qualifié de préoccupation de sécurité nationale.

Un objectif d’exploitation particulièrement concernant est le processus de validation du domaine utilisé par les autorités du certificat (CA) pour vérifier la propriété avant d’émettre des certificats SSL / TLS. Ce sont les certificats utilisés par tous les navigateurs Web pour se connecter en toute sécurité aux sites Web. Pour lutter contre cette menace, le forum CA / Browser a publié une directive pour CAS pour soutenir la corroboration d’émission multi-perspective (MPIC), à partir de septembre 2025.

MPIC est une méthode pour améliorer la sécurité de l’émission de certificat en validant la propriété du domaine et les vérifications de l’AC à partir de plusieurs points de vue de réseau. Il aide à prévenir le détournement de BGP en garantissant que les vérifications de validation renvoient les résultats cohérents de différents emplacements géographiques. L’objectif est de rendre plus difficile pour les acteurs de menace de compromettre l’émission de certificats en redirigeant les itinéraires Internet.

Afin d’aider à implémenter MPIC et d’activer CAS de le soutenir, le projet MPIC ouvert open source a émergé. Le projet est développé par les chercheurs de l’Université de Sectigo et de Princeton pour fournir une solution évolutive à faible barrière pour les autorités de certificat afin de mettre en œuvre cette technique de validation.

« Ce qui rend le détournement de BGP si dangereux, c’est que vous n’avez pas besoin de détourner l’itinéraire pendant très longtemps pour réussir », a déclaré à Dmitry Sharkov, architecte principal de Sectigo et architecte principal de l’Open MPIC. « Vous pouvez raviver brièvement la vérification de validation d’un CA vers un serveur malveillant, le inciter à délivrer un certificat légitime, puis disparaître. C’est tout ce qu’il faut. »

La faiblesse critique de la validation du domaine

Certificat Insuance Security Chose sur la validation précise du contrôle du domaine (DCV), le processus de vérification que les candidats de certificat contrôlent légitimement les domaines pour lesquels ils demandent des certificats.

Les méthodes de validation traditionnelles reposent sur les recherches DNS, les défis HTTP ou la vérification par e-mail, qui dépendent tous d’un approvisionnement en Internet. Le manque inhérent de contrôles de sécurité de BGP crée la possibilité de détourner le trafic.

« Lorsqu’un CA effectue une vérification de contrôle de domaine, il suppose que le trafic qu’il envoie atteint le bon serveur », a déclaré Sharkov. « Mais ce n’est pas toujours vrai. »

Les conséquences sont importantes: les certificats obtenus frauduleusement permettent une usurpation d’identité de site Web convaincante et une interception potentielle de la circulation cryptée.

Comment fonctionne MPIC ouvert

Le framework MPIC ouvert met en œuvre un principe de sécurité simple mais efficace: vérifiez les mêmes données de validation à partir de plusieurs emplacements disparates sur Internet.

« Le correctif consiste à rendre la validation du certificat moins dépendante de n’importe quel itinéraire », a expliqué Sharkov. « Au lieu de valider un domaine à partir d’un seul emplacement de réseau, MPIC nécessite que CAS vérifie à partir de plusieurs points de vue géographiquement divers. »

Cette approche augmente le travail requis pour les attaques réussies, car un attaquant devrait compromettre simultanément le routage vers plusieurs points de vue géographiquement divers. En tant que tel, si une région est induite en erreur par un détournement de BGP, d’autres peuvent saisir l’écart et empêcher le certificat d’être délivré.

La mise en œuvre technique comprend plusieurs composants clés:

  • Une bibliothèque de validation de base qui effectue des vérifications cohérentes dans les environnements
  • Options de déploiement pour les conteneurs AWS Lambda (sans serveur) et Docker
  • Logique du quorum qui nécessite un accord entre les perspectives
  • Application de la diversité géographique
  • Prise en charge de toutes les méthodes de validation du domaine standard

Architecture: coordination des perspectives de validation globale

Open MPIC fonctionne via une architecture de validation parallèle qui maximise l’efficacité tout en maintenant la sécurité. Lorsqu’une vérification de validation de domaine est lancée, le cadre interroge simultanément toutes les perspectives configurées et collecte leurs résultats.

« Si vous avez 10 perspectives, il demande essentiellement les 10 perspectives en même temps, puis il recueillera les résultats et déterminera le quorum et vous donnera un coup de pouce ou des pouces », a déclaré Sharkov.

Cette approche introduit une latence inévitable, mais l’implémentation minimise l’impact des performances par la parallélisation. Sharkov a noté que la latence n’est encore qu’une fraction de seconde.

L’évolution d’une solution de sécurité

Open MPIC a commencé comme un projet de recherche à l’Université de Princeton avant de évoluer vers une solution pratique de l’industrie.

Le Forum CA / Browser a établi un calendrier de mise en œuvre progressif, en commençant par la surveillance de deux perspectives en mars 2025 et en appliquant en septembre. En décembre 2026, l’exigence passe à cinq perspectives distinctes.

Le projet compte déjà des utilisateurs actifs à travers l’écosystème de l’autorité de certificat, avec une communauté croissante de contributeurs.

Démocratiser la sécurité par l’open source

La nature open source du projet relève un défi important pour l’industrie. Alors que les grandes autorités de certificat ont souvent les ressources pour construire leurs propres solutions, de nombreux CA plus petits auraient du mal avec les exigences techniques et d’infrastructure de validation multi-perspective.

« Si vous êtes un grand CA et assez bien des ressources, vous avez probablement l’infrastructure pour simplement lancer votre propre MPIC », a déclaré Sharkov.

D’un autre côté, il a noté que le petit CAS pourrait ne pas avoir les mêmes ressources et ce serait un défi de mettre en œuvre correctement MPIC par eux-mêmes.

« C’était l’idée. C’est juste un moyen d’avoir une faible barrière à l’entrée pour MPIC afin que CAS puisse rester conforme en ce qui concerne les exigences de référence », a-t-il déclaré.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen