Fondement de la confiance - Les clés cryptographiques et les certificats numériques constituent les fondements de la confiance sur Internet. Ils permettent aux différents équipements possédant une adresse IP de s’authentifier les uns les autres et d’instaurer des tunnels cryptés sécurisés entre connexions. Ces mécanismes forment le socle de la sécurité et de la confidentialité en ligne. Cependant, le cryptage œuvre de manière invisible depuis plus de 20 ans, les ressources servant à le sécuriser ne sont pas parfaitement maîtrisées et, le système apparaît vulnérable aux attaques. Le problème tient au fait que les « objets » sont toujours plus nombreux à devoir se connecter et s’authentifier, d’où une explosion du nombre de clés et de certificats qu’il faut suivre et protéger.

Malheureusement, la plupart des entreprises persistent à vouloir s’acquitter de ces opérations manuellement, sur des feuilles de calcul. Les clés et certificats sont souvent égarés, dérobés ou dupliqués sans que personne ne s’en aperçoive. Bons nombres sont créés, à l’insu des équipes de sécurité informatique en aient conscience. Résultat : les tunnels cryptés dissimulant des pirates se multiplient.

Ce manque de visibilité, de veille et d’automatisation représente un réel handicap pour l’entreprise. De nombreux établissements ignorent tout du nombre de certificats en leur possession, de leur renouvellement et de sa date. Les pirates peuvent alors se dissimuler à l’intérieur de tunnels cryptés, ou détourner des certificats et les faire passer pour dignes de confiance. Cette problématique est encore aggravée par les pressions commerciales croissantes dont font l’objet la plupart des entreprises, contraintes de proposer de nouveaux services et des applications innovantes à un rythme toujours plus soutenu. Cette quête de rapidité et d’innovation amène celles-ci à évoluer vers de nouvelles méthodes de travail : agilité, informatique bimodale et DevOps qui ne font qu’entretenir la confusion autour des clés et certificats, reléguant les questions de sécurité à l’arrière-plan.

Le problème posé par Yahoo - Face à une faille majeure, la réinitialisation des mots de passe est la première mesure de sécurité des entreprises ainsi que remplacer les clés et certificats ayant été compromis. Or, la plupart de ces acteurs ne dispose d’aucun mode de repérage ni de remplacement automatisé et cette tâche se révèle extrêmement onéreuse. Une grande entreprise peut compter plusieurs centaines de milliers de clés et de certificats : procéder à leur remplacement manuel risquerait d’accaparer une équipe entière durant plusieurs semaines, et d’occasionner de gigantesques bouleversements pour les utilisateurs. Nombre d’entreprises finissent donc par faire l’impasse sur cette étape cruciale.

La faille Yahoo fut tellement accablante qu’elle a mis en danger l’entreprise toute entière.
D’après une étude de Venafi Labs, le géant du web persiste à utiliser des fonctions de hachage cryptographique peu sûres susceptibles d’être déchiffrées et divulguées par des pirates informatiques. Environ 41% des certificats Yahoo externes que nous avons analysés recourent à l’algorithme SHA-1, que la plupart des navigateurs cesseront de prendre en charge dasn les mois qui viennent en raison des problèmes de sécurité. Une proportion étonnante fait appel à l’algorithme MD5 - autre fonction de hachage peu sûre qui comporte également de graves vulnérabillités, parfaitement documentées. 

Tout ceci soulève une question : Yahoo maîtrisait-il le cryptage, et les clés et certificats le favorisant ? Était-il en mesure de déployer ces clés et certificats sur des systèmes de sécurité chargés de déceler les menaces dissimulées à l’intérieur du trafic crypté ? La réponse semble négative. L’analyse de Venafi prouve que le contrôle exercé par Yahoo sur le cryptage, comme sur les clés et certificats, était décousu. Il n’est donc guère étonnant, dans ces conditions qu’une intrusion et une exfiltration de cette ampleur aient pu se produire. 

Venafi Labs a également constaté que plus du quart (27%) des certificats utilisés sur des sites Yahoo externes n’avaient pas été renouvelés depuis janvier 2015, date à laquelle les pirates, on le sait, avaient déjà infiltré son réseau. En fait, le personnel avait eu connaissance, dès 2014, de l’intrusion de pirates sur e système. Des erreurs de ce type ne sont pas propres à Yahoo : elles sont endémiques et font courir aux entreprises des risques de sécurité inutiles. Par exemple, un an après la découverte de la tristement célèbre faille Heartbleed en 2014, les trois quarts des entreprises n’avaient pas entièrement remédié à cette vulnérabilité critique en remplaçant la totalité des clés et certificats compromis. Tout porte à croire que l’incapacité de Yahoo à exploiter et protéger efficacement ses algorithmes de cryptage, de même que ses clés et certificats, ait favorisé cette attaque dissimulé en la soustrayant à toute détection. 

L’Internet du risque - Si même un géant technologique tel que Yahoo rencontre des problèmes de visibilité et de gestion sur ses certificats numériques, alors on peut supposer que la tâche est véritablement ardue pour l’ensemble des entreprises dans le monde. Il est extrêmement difficile pour des acteurs de toutes tailles de localiser et de remplacer en un clin d’œil leurs certificats. L’infortune de Yahoo met en évidence les répercussions éventuelles d’une totale inertie.

Gartner prévoit que 6,4 milliards d’objets connectés seront en service d’ici la fin de l’année, chiffre qui s’élèvera à 20,8 milliards d’ici à 2020. Cette explosion du nombre de terminaux en entreprises, conjuguée à l’intérêt commercial sur la sécurité inhérente au DevOps, indique que ces difficultés vont croître.

Il n’existe pas de solution miracle en matière de sécurité. Mais la première des choses à faire, pour neutraliser les risques exposés, doit être d’améliorer le repérage et la gestion des clés et certificats. Il incombe aux entreprises d’automatiser ce processus, de même que la réémission de certificats arrivant à expiration ou consécutivement à une faille. Définissez ensuite des règles de cryptage axées sur les meilleures pratiques ; imposez, par exemple, une longueur de clé et une force d’algorithme spécifiques. Et privilégiez une technologie capable de partager des informations clés avec des outils de sécurité de manière à pouvoir inspecter le trafic crypté.

Mais surtout, les responsables informatiques ont besoin d’outils capables de collecter des informations sur la totalité des clés et certificats des entreprises afin d’établir un profil « normal » de référence. À partir de là, il devient nettement plus simple de repérer un comportement anormal ou suspect, et des mesures correctrices peuvent être prises avant qu’un préjudice significatif soit infligé. Il est essentiel d’attirer l’attention des acteurs sur l’importance fondamentale de ce point ; à défaut, les attaques destinées à ébranler la confiance continueront et les conséquences pour les entreprises risquent d’être désastreuses.