Plongée dans le business des faux certificats de signature de code
![Image Un membre de [REvil] condamné à 14 ans de prison aux États-Unis](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image [Change HealthCare :] l’attaque par rançongiciel a coûté 872 millions de dollars](https://incyber.org//wp-content/uploads/2024/05/incyber-news-anonymous-885x690.jpg)
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
Une enquête de Brian Krebs revient sur la carrière d’un cybercriminel russe, spécialiste du trafic de ces précieux sésames
L’expert en cybersécurité Brian Krebs a publié, début juin 2023, une enquête sur un cybercriminel russe, connu sous le nom de « Megatraffer ». Il s’agit d’un des plus importants trafiquants de certificats de signature de code au monde.
Un système d’exploitation va toujours vérifier, avant d’installer un programme, qu’il possède bien un certificat de signature de code valide. Ce certificat garantit, notamment, que personne n’a altéré ou modifié le code d’un logiciel depuis sa création, et qu’il ne fragilisera pas l’OS ou ses composants.
Dans les annonces où il propose ses services, Megatraffer explique pourquoi un certificat (volé ou falsifié) facilite grandement la diffusion de logiciels malveillants. Il rappelle que les antivirus visent en priorité les logiciels non signés, et que les navigateurs modernes bloquent rarement le téléchargement de fichiers signés. Les versions récentes de Windows affichent même un message d’alerte si un utilisateur tente d’installer un logiciel non signé.
Megatraffer a lancé ce lucratif commerce en 2015, sur le forum Exploit. Il l’a depuis étendu à la plupart des grands forums cybercriminels russophones et anglophones. En 2016, ses tarifs étaient de 700 dollars (640 euros) pour un certificat à usage unique et 1 900 dollars (1 738 euros) pour un certificat à « usage étendu ».
Le cybercriminel proposerait par ailleurs ses services à des gangs de rançongiciel. En février 2022, une fuite a ainsi dévoilé plusieurs années de discussions internes de Conti, le champion russe du ransomware (auto-dissous depuis). Cette archive indique que Megatraffer a aidé le groupe à coder ses logiciels malveillants entre juillet et octobre 2020.
Intel 471, un société américaine de threat intelligence, aurait par ailleurs réussi à identifier Megatraffer. En croisant adresses mail, mots de passe et présences sur des forums et des fuites de données, les chercheurs ont établi qu’il s’agirait de Konstantin Evgenievich Fetisov. Né en 1982 et actif dans le cybercrime depuis au moins 2009, ce citoyen russe aurait participé activement à Spamit, le plus grand réseau russe de spams pharmaceutiques du début des années 2010.