Cyber-attaque dans un Combat de Lutte sénégalaise?

Ceci est une alerte de sécurité qui devrait attirer l'attention des Amateurs de lutte sénégalaise (LAMB) notamment la Diaspora. 

Cette note parle aussi aux organisateurs d'un des plus grands combats de lutte sénégalaise (dirait-on) de l'année 2019 qui opposera deux grands antagoniques de l'arène.

Les organisateurs de ce combat-revanche ont décidé de diffuser en direct et en ligne cette rencontre via un site Internet.

Pour pouvoir suivre cet événement sportif en direct, le site en question propose aux amateurs de la Diaspora un paiement en ligne, avec l'utilisation de carte bancaire.

Ce qui signifie que des milliers de passionnés de LAMB vont se connecter le jour-j avec leur ordinateur ou leur smartphone.

En tant qu'amateur "averti", je suis tombé par hasard sur une publicité à la télé montrant comment payer avec sa carte bancaire. Cette publicité a attiré mon attention. 

Et oui, je sais que mes proches et amis qui se trouvent dans l'autre côté du monde vont sans doute taper les informations de leurs cartes VISA sans toutefois être sûr de se trouver sur le bon site Web.

D'ailleurs, le site Web s'appelle comment encore? sene-site.com ou sen-site.net, ..., je ne sais plus... (Question importante!)

Attention, le jour du combat tous les sites Web similaires au vrai peuvent belle et bien afficher les mêmes interfaces, mêmes design, etc. Chose très facile pour un attaquant (le pirate informatique).

Qu'est-ce que tout cela voudrait dire?

Je ne parle pas des possibles failles de sécurité sur les technologies utilisées pour développer le site web, choses que j'ignore d'ailleurs car n'ayant pas tester le site. Mais j'ai remarqué que le site Web en question utilise un Certificat SSL de Let's Encrypt, valable 3 mois, gratuit... (Pour un événement qui générerait des centaines de millions de FCFA.)

Il y a un problème à ce niveau !

Le certificat SSL pour ces types de site Web devrait au minimum permettre :

• De chiffrer (ou crypter) toutes les connexions vers ce site Web;
• De garantir aux utilisateurs ou amateurs qu'une Autorité de Certification reconnue mondialement a bien vérifié que telle entreprise ou telle organisation existe et qu'elle est le propriétaire du nom de domaine de ce site Web;
• Aux utilisateurs d'avoir la certitude de se trouver sur le bon site...

Mais tel n'est pas le cas !

Du moins, le type de certificat SSL utilisé ne permet que le premier point cité ci-dessus, c'est à dire, le chiffrement des connexions.

Quel est le risque?

Pour avoir une idée du risque lié à l'utilisation de ce type de Certificat, voyons un des cas des plus simples de Cyber-attaque possibles.

Un scénario simple serait un attaquant qui va :

• Cloner le vrai site Web,
• Utiliser un nom de domaine similaire au vrai nom de domaine,
• Envoyer son lien à ses potentielles victimes via des emails, WhatsApp ou les réseaux sociaux,
• Faire croire aux utilisateurs ou amateurs qu'ils se trouvent sur site Internet sécurisé en HTTPS
• ...

Et le tour est joué ! 

L'attaquant peut ainsi recevoir les informations de cartes bancaires qui seront saisies et valider par ses victimes.

Quel impact?

L'impact d'une telle Cyber-attaque appelée Phishing serait la perte de données de cartes bancaires des victimes qui souhaitaient simplement suivre cet événement sportif en direct.

Quelles solutions pour ce problème précis?

• Il faudrait déployer un certificat SSL de Classe 2 au minimum;
• Commencer la publicité par montrer aux Amateurs comment reconnaître le vrai site Web en vérifiant le certificat SSL (détails en cliquant sur le Cadenas vert, image ci-dessus)

Avec ces quelques mesures, on aura espéré au moins réduire le risque lié à ce problème précis de sécurité.

Très bonne et heureuse année 2019 !

CAKM