James Thew - Fotolia

Certificats : des risques connus mais négligés

Les professionnels de la sécurité semblent ne rien faire face au risque que représentent les certificats et les clés de chiffrement compromis par manque de visibilité.

Au début du mois d’août, Venafi a sondé plus de 300 participants à la célèbre conférence Black Hat sur la question des certificats et des clés de chiffrement compromis, un point clé, « la fondation de toute la cybersécurité ». Mais les résultats n’ont rien de rassurant.

Probablement plus réalistes qu’optimistes, 90 % des sondés estiment qu’une autorité de certification majeure devrait être victime d’une brèche de sécurité majeure d’ici à deux ans. Mais seulement 13 % des sondés disposent d’outils automatisés pour faire face à une telle situation. Et comme le souligne Venafi, dans de telles circonstances, « toutes les organisations utilisant une autorité de certification compromise devront rapidement migrer les certificats émis par celle-ci vers une autre, manuellement ». Selon Venafi, les organisations utilisent en moyenne rien moins que 23 000 certificats… et « il faut en moyenne 4 heures pour accomplir toutes les étapes nécessaires au remplacement d’un certificat sur un seul système ».

Mais encore faut-il se mettre d’accord sur ce qu’est une autorité de certification compromise… 74 % des sondés semblent ainsi estimer que l’autorité de certification du gouvernement chinoise, le CNNIC, ne l’est pas : pour eux, elle ne représente pas « une menace claire et immédiate » alors que Google et Mozilla ont annoncé qu’elle n’est plus digne de confiance ; « seuls 26 % des répondants ont supprimé le CNNIC de tous leurs postes ». 34 % des sondés « ne savent pas » et « 17 % attendent qu’Apple et Microsoft agissent ». Et pourtant, 58 % des sondés se disent préoccupés par les attaques de type man-in-the-middle.

Pour Kevin Bocek, vice-président de Venafi en charge de la stratégie de sécurité et du renseignement sur les menaces, qualifient ces résultants de « troublants, compte tenu du nombre de professionnels de la sécurité IT qui reconnaissent les menaces posées par les [autorités de certification compromises] et les certificats détournés, mais qui n’ont pas le savoir, la compréhension et les outils d’automatisation pour résoudre le problème et réduire le risque d’attaque ».

 

Pour approfondir sur Réglementations et Souveraineté