Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GMO GlobalSign revient sur son atelier « menaces à la sécurité de l’information : les certificats numeriques peuvent changer la donne »

octobre 2014 par GlobalSign

GlobalSign a organisé le 2 octobre, dans le cadre de sa 1ère participation aux Assises de la Sécurité, un atelier sur les certificats numériques. Aujourd’hui, GlobalSign révèle les éléments marquants de cet atelier.

Un contexte particulier

Le protocole SSL a longtemps été considéré comme une pièce maîtresse de sécurité, mais il est toutefois vital de s’assurer de sa bonne configuration afin de garantir un niveau de sécurité maximal. Dans cette optique, il est d’ailleurs fortement recommandé d’activer le support des protocoles TLS 1.0, 1.1 & 1.2 et de désactiver les protocoles SSL. GlobalSign a réalisé une analyse des sites web français les plus visités selon le cabinet Alexa[1] - sites qui figurent dans leur top 1 million. Parmi ces sites étudiés, il est apparu que seul un très faible nombre était sécurisé par un certificat. L’analyse a par ailleurs mis en évidence que les deux protocoles les plus sécurisés - TLS 1.1 et 1.2 - sont en réalité les moins utilisés.

Cette étude fait également ressortir que l’activation de la politique de sécurité HSTS est quasiment nulle, tout comme celle de l’estampillage OCSP. Or, HSTS - protocole créé pour forcer un utilisateur à se connecter à un site web uniquement en HTTPS, permet aussi de bloquer les attaques de « l’homme du milieu » qui interceptent les communications entre deux parties.

A quelles problématiques de sécurité les certificats répondent-ils ?
Dans le contexte actuel, assurer la protection des données confidentielles est primordial, mais se révèle aussi être un véritable challenge pour la plupart des entreprises.

Avant d’entamer une telle démarche et réussir à la mettre en œuvre, il est primordial pour l’entreprise de considérer deux angles :
l’amélioration de la sécurité des connections et du serveur pour assurer la protection des données de ses clients avec un chiffrement élevé
le renforcement de la sécurité de son infrastructure et le remplacement des moyens d’accès traditionnels faibles par une authentification à plusieurs facteurs.

Comment protéger au mieux ses données ?

Dans le cas des connexions SSL, l’outil de contrôle de configuration présenté par GlobalSign à l’occasion de cet atelier permet non seulement d’identifier quels protocoles sont activés, de vérifier les préférences de chiffrement, de déterminer si HSTS est activé, mais aussi de corriger les vulnérabilités et erreurs de configuration.

Quant à l’infrastructure de l’entreprise, tout le monde s’accorde sur la nécessité d’ajouter un niveau de sécurité supplémentaire aux mots de passe, mais en comprendre les raisons est la 1ère étape essentielle de ce changement.

Tout d’abord, il est évident que les mots de passe sont trop souvent faibles et facilement déchiffrables. Mais il ne faut pas négliger non plus le fait que le comportement des utilisateurs a une mauvaise influence sur la sécurité des mots de passe en général. Leur faire confiance est donc à éviter : leurs mots de passe personnels deviennent professionnels, sont notés et même partagés… Il est aussi devenu monnaie courante pour les employés d’utiliser leur ordinateur ou téléphone portable personnel au travail, le risque d’injection de malware dans le réseau de l’entreprise s’en trouvant alors accru. Et finalement, une authentification faible coûte cher à l’entreprise à cause des frais judiciaires ou de consultation qui s’ensuivent et de l’impact sur la réputation de l’entreprise.
L’authentification à l’aide de certificats est donc la solution optimale puisqu’elle balaye l’ensemble des problèmes listés précédemment. En effet, cette solution :
est facile à mettre en place, ne nécessitant aucun équipement supplémentaire
nécessite une implication minime de la part des utilisateurs finaux
peut être utilisée pour authentifier les machines, les utilisateurs et les appareils mobiles
est reconnue automatiquement par la plupart des applications et des réseaux des entreprises
est une solution facile à gérer, notamment grâce à l’intégration Active Directory et le portail AEG.


Voir les articles précédents

    

Voir les articles suivants