Imaginez-vous qu’une grande entreprise puisse tromper ses clients, surtout si cette entreprise se positionne comme garante de la sécurité ? Je ne pouvais donc pas le faire jusqu’à récemment. Cet article est un avertissement pour réfléchir à deux fois avant d'acheter un certificat de signature de code auprès de Comodo.
Dans le cadre de mon travail (administration système), je crée divers programmes utiles que j'utilise activement dans mon propre travail, et en même temps je les publie gratuitement pour tout le monde. Il y a environ trois ans, il était nécessaire de signer des programmes, sinon tous mes clients et utilisateurs ne pourraient pas les télécharger sans problème simplement parce qu'ils n'étaient pas signés. La signature est depuis longtemps une pratique normale et quel que soit le degré de sécurité d'un programme, s'il n'est pas signé, une attention accrue lui sera certainement portée :
- Le navigateur collecte des statistiques sur la fréquence de téléchargement d'un fichier, et lorsqu'il n'est pas signé, au stade initial, il peut même être bloqué « juste au cas où » et nécessiter une confirmation explicite de l'utilisateur pour l'enregistrer. Les algorithmes sont différents, parfois le domaine est considéré comme fiable, mais en général c'est une signature valide qui confirme la sécurité.
- Après le téléchargement, le fichier est examiné par l'antivirus et immédiatement avant le démarrage du système d'exploitation lui-même. Pour les antivirus, la signature est également importante, elle est facilement visible sur virustotal, et comme pour le système d'exploitation, à partir de Win10, un fichier avec un certificat révoqué est immédiatement bloqué et ne peut pas être lancé depuis l'Explorateur. De plus, dans certaines organisations, il est généralement interdit d'exécuter du code non signé (configuré à l'aide d'outils système), et cela est justifié - tous les développeurs normaux se sont assurés depuis longtemps que leurs programmes peuvent être vérifiés sans effort supplémentaire.
En général, la bonne direction a été choisie - dans la mesure du possible, en rendant Internet aussi sûr que possible pour les utilisateurs inexpérimentés. Cependant, la mise en œuvre elle-même est encore loin d’être idéale. Un simple développeur ne peut pas simplement obtenir un certificat, il doit l'acheter auprès d'entreprises qui ont monopolisé ce marché et qui en dictent les conditions. Mais que se passe-t-il si les programmes sont gratuits ? Tout le monde s'en fout. Le développeur a alors le choix : prouver constamment la sécurité de ses programmes, en sacrifiant le confort des utilisateurs, ou acheter un certificat. Il y a trois ans, StartCom, qui vit aujourd'hui au fond de l'océan, était rentable et n'a jamais eu de problèmes. Pour le moment, le prix minimum est fourni par Comodo, mais il s'avère qu'il y a un hic : pour eux, le développeur n'est littéralement personne et le tromper est une pratique normale.
Après presque un an d'utilisation du certificat que j'ai acheté mi-2018, du coup, sans préavis par mail ou téléphone, Comodo l'a révoqué sans explication. Leur support technique ne fonctionne pas bien - ils ne répondent peut-être pas avant une semaine, mais ils ont quand même réussi à découvrir la raison principale - ils considéraient que le certificat émis était signé par un malware. Et l'histoire aurait pu s'arrêter là, sans une chose : je n'ai jamais créé de malware, et mes propres méthodes de protection me permettent de dire qu'il est impossible de voler ma clé privée. Seul Comodo possède une copie de la clé car ils les délivrent sans CSR. Et puis - près de deux semaines de tentatives infructueuses pour découvrir la preuve élémentaire. L'entreprise, censée garantir la sécurité, a catégoriquement refusé de fournir la preuve d'une violation de ses règles.
Depuis la dernière conversation avec le support techniqueVous 01:20
Vous avez écrit « Nous nous efforçons de répondre aux tickets d'assistance standard dans le même jour ouvrable. » mais j'attends une réponse depuis une semaine maintenant.
Vinson 01:20
Bonjour, Bienvenue sur la validation SSL Sectigo !
Laissez-moi vérifier l'état de votre dossier, veuillez patienter une minute.
J'ai vérifié et la commande a été révoquée en raison d'un malware/fraude/phishing par notre supérieur hiérarchique.
Vous 01:28
Je suis sûr que c'est votre erreur, alors je demande une preuve.
Je n'ai jamais eu de malware/fraude/phishing.
Vinson 01:30
Je suis désolé, Alexandre. J'ai vérifié deux fois et la commande a été révoquée en raison d'un malware/fraude/phishing par notre supérieur hiérarchique.
Vous 01:31
Dans quel fichier avez-vous vu le virus ? Y a-t-il un lien vers virustotal ? Je n'accepte pas votre réponse car elle ne contient aucune preuve. J'ai payé de l'argent pour ce certificat et j'ai le droit de savoir pourquoi mon argent m'a été retiré de force.
Si vous ne pouvez pas fournir de preuve, le certificat a été révoqué injustement et vous devez restituer l'argent. Sinon, quel est le sens de votre travail si vous révoquez des certificats sans preuve ?
Vinson 01:34
Je comprends votre inquiétude. Le certificat de signature de code a été signalé pour la distribution de logiciels malveillants. Conformément aux directives de l'industrie : Sectigo, en tant qu'autorité de certification, est tenu de révoquer le certificat.
Conformément à la politique de remboursement, nous ne serons pas en mesure de rembourser après 30 jours à compter de la date d'émission.
Vous 01:35
Pourquoi pensez-vous qu’il ne s’agit pas d’une erreur ou d’un faux positif ?
Vinson 01:36
Je suis désolé, Alexandre. Selon le rapport de nos hauts fonctionnaires, l'ordre a été révoqué en raison de logiciels malveillants/fraude/hameçonnage.
Vous 01:37
Pas besoin de m'excuser, j'ai payé l'argent et je veux voir la preuve que j'ai violé vos règles. C'est simple.
J'ai payé pendant trois ans, puis vous avez trouvé une raison et m'avez laissé sans certificat et sans preuve de ma culpabilité.
Vinson 01:43
Je comprends votre inquiétude. Le certificat de signature de code a été signalé pour la distribution de logiciels malveillants. Conformément aux directives de l'industrie : Sectigo, en tant qu'autorité de certification, est tenu de révoquer le certificat.
Vous 01:45
Il semble que vous ne compreniez pas. Où avez-vous vu le tribunal qui prononce la sentence sans preuve ? C'est exactement ce que vous avez fait. Je n'ai jamais eu de malware. Pourquoi ne fournissez-vous pas de preuve si c'est le cas ? Quelle preuve spécifique constitue une révocation de certificat ?
Vinson 01:46
Je suis désolé, Alexandre. Selon le rapport de nos hauts fonctionnaires, l'ordre a été révoqué en raison de logiciels malveillants/fraude/hameçonnage.
Vous 01:47
Qui puis-je connaître la véritable raison de la révocation du certificat ?
Si vous ne pouvez pas répondre, dites-moi à qui m'adresser ?
Vinson 01:48
Veuillez soumettre à nouveau un ticket en utilisant le lien ci-dessous afin que vous receviez une réponse le plus tôt possible.
Vous 01:48
Thank you.
Ce résultat n'est pas isolé, tout le temps des négociations dans le chat, au mieux, ils répondent la même chose, soit les tickets ne reçoivent pas de réponse du tout, soit les réponses sont tout aussi inutiles.
Je crée à nouveau un ticketMa demande:
J'ai besoin d'une preuve que j'ai violé une règle qui a conduit à la révocation. J'ai acheté un certificat et je veux savoir pourquoi mon argent m'a été retiré.
« malware/fraude/phishing » n'est pas la réponse ! Dans quel fichier avez-vous vu le virus ? Y a-t-il un lien vers virustotal ? Veuillez fournir une preuve ou restituer l'argent, j'en ai marre d'écrire au support technique et j'attends depuis plus d'une semaine.
Thank you.
Leur réponse :
Le certificat de signature de code a été signalé pour la distribution de logiciels malveillants. Conformément aux directives de l'industrie : Sectigo, en tant qu'autorité de certification, est tenu de révoquer le certificat.
L’espoir que ce ne soit pas le singe qui me répondra est complètement perdu. Un schéma intéressant se dégage :
- Nous vendons un certificat.
- Nous attendons depuis plus de six mois qu'il soit impossible d'ouvrir un litige via PayPal.
- Nous sommes en rappel et attendons la prochaine commande. Profit!
Comme je n’ai pas d’autres moyens de les influencer, je ne peux que rendre publique leur fraude. Lors de l’achat d’un certificat Comodo, également connu sous le nom de Sectigo, vous pouvez rencontrer la même situation.
Mise à jour le 9 juin :
Aujourd'hui, j'ai informé CodeSignCert (la société par l'intermédiaire de laquelle j'ai acheté le certificat) que depuis qu'ils ont cessé de répondre, j'ai soumis la situation à un débat public avec un lien vers cet article. Après un certain temps, ils ont finalement envoyé une capture d'écran de virustotal, où le hachage du programme était visible :
VirusTotal -
Mon évaluation de la situation :
Je peux dire avec certitude qu'il s'agit d'un faux positif. Panneaux:
- Désignation Générique dans la plupart des cas.
- Aucune détection de la part des leaders antivirus.
Il est difficile de dire ce qui a exactement provoqué une telle réaction de la part des antivirus, mais comme le fichier est très obsolète (il a été créé il y a presque un an), je n'ai pas enregistré le code source de la version 1.6.1 pour recréer le fichier en binaire. . Cependant, j'ai la dernière version 1.6.5, et étant donné l'immuabilité de la branche principale, des modifications minimes y ont été apportées, mais il n'y a pas de faux positifs de ce type :
VirusTotal -
CodeSignCert a été informé du faux positif ; dès que d'autres résultats des négociations seront disponibles, l'article sera mis à jour jusqu'à ce que la situation soit complètement résolue.
Source: habr.com