L’affaire de la rançon Symbian montre le risque qui pèse sur l’Internet des objets
Nokia a, par le passé, versé une rançon pour un certificat numérique. Un signal d’alarme pour toutes les organisations qui entendent numériser leurs produits.
C’est en 2007 que Nokia a fait l’objet d’un chantage, selon nos confrères de MTV, en Finlande. Un chantage portant sur la clé de chiffrement utilisée pour signer les applications Symbian certifiées par le groupe. Nokia a versé au maître chanteur des millions de livres pour empêcher que la clé ne soit diffusée publiquement. Si cela avait été le cas, des pirates auraient pu créer des chevaux de Troie visant les utilisateurs de terminaux Symbian. Ce n’est pas la première fois que la compromission de certificats bénéficie d’une telle publicité : Stuxnet a précédemment mis en lumière le risque induit par une telle compromission, utilisée dans ce cas précis pour saboter des systèmes Scada.
Mais de nombreuses entreprises ciblant le grand public avancent dans la numérisation de leurs produits. Et il est chaque jour un peu plus probable que ces produits embarquent d’importants composants logiciels dont l’intégrité repose sur des certificats numériques. Les produits d’électronique grand public modernes tels que les téléviseurs connectés ou les consoles de jeux offrent aux consommateurs des capacités de mise à jour via Internet. De telles capacités vont devenir de plus en plus fréquentes à mesure que les entreprises améliorent leurs produits en les ouvrant à Internet. Dans certains cas, la mise à jour pourrait même survenir sans intervention de l’utilisateur final.
Les certificats numériques sont là fournir un certain niveau de garantie quant à l’origine du logiciel à installé. Mais avec leur compromission, des pirates peuvent installer n’importe quelle application sur le système cible. L’an pass, Hiroshi Shinotsuka, de Symantec, propriétaire de l’autorité de certification Verisign, s’est penché sur les défis de la protection des certificats numériques. Dans un billet de blog, il a recommandé aux équipes de développement de protéger les clés privées de chiffrement en mettant en place un réseau dédié au développement et complètement isolé du réseau interne de l’entreprise : « Utilisez des mots de passe différents pour chaque réseau. Si un logiciel malveillant compromet un ordinateur sur le réseau de l’entreprise, il ne pourra pas accéder aux clés privées », insistait-il alors. Et Shinotsuka de recommander que les développeurs utilisent des certificats de test en attendant que leurs logiciels soient prêts à être déployés, et de stocker les certificats de production sur des clés USB chiffrées, placées dans un coffre-fort, plutôt que sur un ordinateur.
Selon Gartner, les entreprises cherchent à multiplier les services numériques pour renforcer leur compétitivité. Mais certaines approches traditionnelles sont souvent perçues comme des freins à l’innovation, ralentissant les processus devant permettre d’atteindre les résultats attendus par les directions. Dès lors, les équipes de développement peuvent s’attendre à une forte pression pour réduire les délais de lancement commercial des produits. Pour autant, la qualité du code doit rester élevée et la sécurité des certificats numériques se doit de devenir une priorité.
Adapté de l’anglais par la rédaction.