Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Venafi : 35 % des sites web persistent à utiliser des certificats SHA-1 précaires et font courir des risques à leurs utilisateurs

novembre 2016 par Venafi

Une nouvelle étude de Venafi® Labs établit que 35 % des sites web dans le monde persistent à utiliser des certificats SHA-1 qui ne sont pas sûrs. Et ce, alors que des éditeurs de navigateurs connus, tels que Microsoft, Mozilla et Google, ont officiellement déclaré qu’ils retireront leur confiance aux sites exploitant des certificats SHA-1 à compter du début de l’année 2017. Avant février 2017, Chrome, Firefox et Edge signaleront comme non sécurisés les sites web qui continuent à faire appel à des certificats exploitant des algorithmes SHA-1.

Dans ces conditions, les transactions et le trafic web risquent de subir maintes perturbations :

• Les navigateurs afficheront des messages d’avertissement, signalant aux utilisateurs que le site n’est pas sûr et les invitant à se rediriger vers un autre site.

• Les navigateurs n’afficheront aucun « cadenas vert » dans la barre d’adresse sur des transactions HTTPS ; cette icône certifie que les transactions en ligne sont sécurisées et confidentielles.

• Des problèmes de performances peuvent se poser pour certains sites, dont l’accès risque, dans certains cas, d’être complètement bloqué.

En plus d’une expérience utilisateur dégradée, les sites web qui continuent à utiliser des certificats SHA-1 peuvent s’attendre à une augmentation significative du nombre d’appels au "help-desk" et à une baisse des recettes liées aux transactions en ligne. Ils risquent également de pâtir d’un préjudice de réputation dans la durée.

Walter Goulet, responsable produit des solutions cloud chez Venafi, commente comme suit : « Les résultats de notre analyse montrent clairement que si les sites web les plus en vogue ont abandonné les certificats SHA-1, une fraction significative d’Internet continue à s’appuyer sur des certificats SHA-1. D’après l’enquête Netcraft menée en septembre 2016 sur les serveurs web, plus de 173 millions de sites web sont en service. Si l’on extrapole, pas moins de 61 millions de sites web pourraient encore exploiter des certificats de ce type. »

Les certificats numériques permettent d’obtenir des éléments d’information clés servant à chiffrer le trafic entre utilisateurs et sites web. Le chiffrement est indispensable à la confidentialité et à la sécurisation des communications et des transactions. Les certificats numériques vérifient également que le site web auquel se connectent les utilisateurs est licite. Tous les navigateurs web se servent de certificats pour déterminer ce qui est fiable ou non dans le cadre de transactions en ligne. Leur rôle est tout particulièrement essentiel dans le cadre de transactions qui s’appuient sur des données sensibles, de type commerce électronique et banque en ligne. L’algorithme de hachage cryptographique SHA-1 exploité par de nombreux certificats, présente des failles et peut être aisément manipulé. Par exemple, certificats SHA-1 sont vulnérables aux attaques de collisions qui permettent à des cybercriminels de falsifier des certificats et de diriger des attaques de type man-in-the-middle sur des connexions TLS. Si l’algorithme SHA-2 résout ces problèmes, l’étude de Venafi Labs établit que nombre d’entreprises tardent à adopter cette mise à jour, ce qui les expose à des failles de sécurité, à des problématiques de conformité et à des pannes susceptibles de mettre à mal leur disponibilité et leur fiabilité.

« Tout notre univers en ligne repose sur les certificats sur lesquels s’appuie le système de confiance ; les entreprises ont l’obligation de veiller à la solidité de cet échafaudage », commente Kevin Bocek, stratège sécurité chez Venafi. « Laisser des certificats SHA-1 en place, c’est comme dérouler le tapis rouge à des pirates en leur disant que la sécurité de nos applications, données et clients nous importe peu ».

Kevin Bocek poursuit en ces termes : « L’entreprise lambda possède plus de 23 000 clés et certificats, et la plupart des établissements ne disposent ni des outils, ni de la visibilité suffisante pour localiser tous les certificats SHA-1 au sein de leur environnement. Autant dire que la migration vers SHA-2 risque d’être complexe et chaotique ; partant de là, nombre d’entreprises se contentent de faire la politique de l’autruche. Malheureusement, en janvier, ces entreprises se trouveront dans une impasse. Ce que je conseille, c’est de mettre dès à présent un plan en place car il sera encore plus difficile d’arrimer l’échafaudage après la date butoir, lorsque le système commencera à se lézarder. »

Pour préparer cette étude, l’équipe Venafi Labs a analysé les données se rapportant à plus de 11 millions de sites web IPv4 en faisant appel à Venafi TrustNet™, base de données propriétaire assurant une veille très complète, en temps réel, sur les certificats.




Voir les articles précédents

    

Voir les articles suivants