Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

    











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vulnérabilités

CERT-XMCO : L’ENISA publie son analyse sur l’affaire DigiNotar

décembre 2011 par CERT-XMCO

* Operation Black Tulip : Certificate authorities lose authority

 Date : 07 Decembre 2011

 Gravité : Elevée

 Description : L’ENISA (European Network and Information Security Agency), l’agence européenne en charge de la définition des meilleures pratiques en matière de sécurité de l’information, vient de publier son analyse quant à l’opération "Black Tulip" (voir CXA-2011-1489). Cette dernière avait conduit l’autorité de certification néerlandaise DigiNotar à mettre la clef sous la porte.

Selon les conclusions de l’ENISA, deux problèmes principaux ont conduit à la situation actuelle :
 La société n’a alerté personne lorsque l’attaque a été découverte, ni ses propres clients, ni les autorités gouvernementales.
 La société n’a pas respecté les meilleures pratiques, ni même les pratiques "basiques", en matière de sécurité des systèmes d’informations.

Ce dernier point avait été révélé par la société Fox-It qui avait réalisé un audit du système d’information de la société après la révélation de l’attaque. Cet audit avait permis de découvrir, par exemple, que les correctifs de sécurité n’étaient pas installés sur de nombreux systèmes, ou encore que la société n’était pas en mesure de fournir la liste des certificats publiés par l’autorité de certification. D’autres failles avaient été découvertes, comme l’utilisation de mot de passe faible ou encore l’absence d’antivirus.

De plus, l’agence note des problèmes fondamentaux dans le modèle de fonctionnement actuel du protocole HTTPS. En effet, le fait qu’un grand nombre de logiciel et d’internautes placent une confiance importante dans la validité d’un certificat. Résultat, la sécurité offerte par HTTPS est équivalente à la sécurité de l’autorité de certification la plus "faible", ou celle en laquelle on peut le moins faire confiance. L’agence appelle donc à une modernisation d’HTTPS et, par la même, des protocoles SSL et TLS afin qu’ils soient plus résistants aux attaques contre les autorités de certification, et dans le même temps plus facilement utilisables par les internautes.

L’agence conclue son analyse en proposant des points d’amélioration qui permettent de remédier aux problèmes identifiés, parmi lesquels :
 la mise en place de systèmes qui permet de détecter et de répondre aux incidents de sécurité ;
 la définition de politique de divulgation entre les sociétés et les gouvernements ;
 la mise en place d’un cadre juridique obligeant les acteurs concernés à révéler les incidents détectés, au niveau national, voire européen ;
 le respect des meilleurs pratiques en matière de sécurité de l’information ;
 la mise en place d’outil de contrôle pour que les autorités légales vérifient que les différents acteurs respectent les meilleurs pratiques ;
 la mise en place de processus de validation et de vérification du niveau de confiance placé par un éditeur de logiciel dans une autorité de certification, et la mise en place de processus permettant à un éditeur de retirer un certificat racine du trousseau de son logiciel ;
 l’amélioration du processus de validation d’un certificat avec, entre autres, une amélioration de la gestion des protocoles du type OCSP afin de vérifier la validité d’un certificat ;
 la mise en place de solutions techniques novatrices telles que le "certificat pinning" (voir CXA-2011-2109), DANE (DNS-based Authentication of Named Entities) (qui repose sur DNSSEC), qui identifient la seule autorité de certification autorisée à valider un certificat SSL.

Enfin, l’ENISA recommande à l’industrie d’envisager la définition d’un nouveau modèle pour HTTPS, plus adapté à la situation actuelle d’Internet que la définition actuelle, qui visait à protéger un Internet jeune, à une époque ou le nombre d’autorités de certification et de site Internet était limité.

 Référence :

http://www.enisa.europa.eu/media/news-items/analysis-of-2018operation-black-tulip2019-certificate-authorities-lose-authority

http://www.enisa.europa.eu/media/news-items/operation-black-tulip

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1489

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2109

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2120


Voir les articles précédents

    

Voir les articles suivants

Les événements

23 avril Paris 9h à 13h : Conférence Appian, Cap Gemini sur le thème Financial Services et Assurances

    

Voir tous les évènements











Ecole de cybersecurite a Lyon et Paris
Ecole de cybersecurite a Lyon et Paris


Vulnérabilités

All our news in english

Alle unsere News auf deutsch

 
Actu Dossiers Cyber Securité RGPD Vulnérabilités Malwares Agenda CARTOGRAPHIE DES DC NEUTRES Carrière GS Days Guide THEMA Agences Presse CONTACTS Contact A propos Mentions légales identifier ADMIN

Global Security Mag Copyright 2011