Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Venafi : 85 % des professionnels de l’informatique pensent que Google révoquera d’autres autorités de certification

avril 2018 par Venafi Dimensional Research

Venafi® annonce les résultats d’une étude menée par Dimensional Research qui évalue dans quelle mesure les entreprises sont prêtes à faire face aux erreurs des autorités de certification (AC) et aux révocations de certificats par certains navigateurs. Cette étude s’appuie sur les réponses de 11 100 professionnels de la sécurité informatique aux États-Unis, au Royaume-Uni, en Allemagne, en France et en Australie, pour lesquels les autorités de certification n’ont aucun secret.

Bien que les professionnels de la sécurité informatique craignent d’autres sanctions à venir, rares sont ceux qui disposent des outils nécessaires pour changer très vite d’AC. Par exemple, 15 % seulement des participants associent la décision prise par Google de révoquer les certificats Symantec à un événement exceptionnel. Cependant, à supposer qu’ils soient eux-mêmes victimes d’une sanction de ce type, 23 % seulement s’estiment parfaitement aptes à retrouver et remplacer les certificats impactés.

« La tâche des AC est d’autant plus délicate qu’ils doivent gérer quantité de questions complexes qui leur échappent », précise Mike Dodson, responsable mondial des architectes en solutions pour Venafi. « Aucune AC n’est à l’abri de risques, et les compromissions et erreurs de ce côté peuvent donner du fil à retordre à des entreprises tenues de retrouver et de remplacer quantité de certificats dans des délais très courts. Si les entreprises doivent avoir davantage de prise sur les AC en qui elles placent leur confiance, elles doivent également admettre que leur mainmise ne sera jamais absolue. Les navigateurs, par exemple, jouent un rôle essentiel dans la confiance que nous accordons aux AC. Récemment, Chrome et Mozilla ont décidé de ne plus accorder la leur aux certificats émis par Symantec et aujourd’hui, nombre d’entreprises doivent remplacer ces certificats avant une date-butoir. »

Des éléments complémentaires indiquent que les professionnels de la sécurité surestiment peut-être leur capacité à faire face à un manquement des AC :
• 81 % des participants se disent préoccupés par d’éventuelles sanctions imputables aux AC.
• Si 61 % affirment avoir mis en place un plan qui leur permettrait de remplacer la totalité des certificats Symantec dans les délais impartis, ils ne sont que 58 % à disposer d’un inventaire précis comprenant l’adresse IP de tous les équipements où ont été installés des certificats reliés à une racine Symantec.
• Près de deux tiers (62 %) sont certains de ne pas disposer de certificats émis par des AC non autorisées, mais la moitié seulement a mis en place des mécanismes pour détecter leur présence.
• Si 74 % des participants estiment être en mesure de repérer et remplacer la totalité des certificats compromis, ils ne sont que 8 % à avoir mis en place des processus automatisés.

L’an dernier, des chercheurs affiliés à Google ont fait valoir des irrégularités dans l’émission de plusieurs milliers de certificats TLS (Transport Layer Security) en provenance de Symantec, et de ses AC affiliées. En conséquence, les équipes de Chrome ont annoncé un plan progressif de révocation des certificats Symantec. La première date-butoir est fixée au 17 avril 2018, date à laquelle Chrome 66 et Mozilla révoqueront les certificats TLS Symantec émis avant le 1er juin 2016.




Voir les articles précédents

    

Voir les articles suivants