Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Freely subscribe to our NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Unsubscribe

GoDaddy a révoqué 9.000 certificats SSL, Venafi propose son analyse

January 2017 by Venafi

Mardi dernier, GoDaddy a été obligé d’annuler des milliers de certificats SSL à cause d’un bug logiciel. Un site web pourrait continuer à fonctionner en étant criblé d’erreur ! " Il s’agit clairement d’un avertissement ! " commente Kévin Bocek Chief Security Strategist chez Venafi .

Kevin Bocek, Chief Security Strategist chez Venafi commente cette actualité:

"Malheureusement, ce n’est pas un cas isolé pour le secteur des systèmes de certification. Récemment, une erreur commise par GlobalSign a verrouillé le trafic de ses clients pendant des jours et Symantec a découvert le problème à cause de certificats émis non autorisés.
Il s’agit clairement d’un avertissement ! Faire confiance aux certificats numériques c’est faciliter l’économie mondiale: ils affectent les internautes, les entreprises et les gouvernements. Malheureusement chaque activité s’appuie sur des méthodes manuelles pour gérer ces certificats.

Pour protéger une activité, chaque entreprise doit connaître l’emplacement de tous les certificats numériques utilisés et doit être capable de les remplacer immédiatement.

L’utilisation du Cloud, des mobiles ou de l’IoT, conduisant à une explosion des demandes de certificats numériques, met en lumière la nécessité de se préparer à une hausse des erreurs et d’insécurité des systèmes de certification".

Pour Tim Bedard, director of digital trust analytics chez Venafi:

"Cette affaire présage un futur problème colossale concernant les systèmes de certification pour chaque organisation. Et je me demande si c’est une preuve concrète des faiblesses du DevOps et du FastIT…

Nous savons qu’il est difficile pour les organisations de respecter le "DevOps SLA’s" tout en restant en même temps sécurisées. C’est pour cette raison que beaucoup d’organisations prennent des raccourcis avec les certificats dans leur développement DevOps, les tests et la production. Il est d’ailleurs possible que ces contraintes de temps aient introduit les failles dans la sécurité des certificats.

Les organisations n’ont souvent pas la visibilité dont elles ont besoin pour résoudre ce genre de problème et au final, elles ne peuvent pas répondre dans des délais convenables. Assez souvent, elles ne peuvent pas retirer et remplacer rapidement les certificats défectueux. En fait, la plupart des organisations remplace les certificats manuellement, l’un après l’autre - un processus qui n’est pas fiable, qui est fastidieux et qui nécessite des ressources importantes. Les questions de sécurité comme celles-ci affectent toutes activités présentes sur Internet : plus leurs positions sont faibles en cryptographie plus grand sera le problème".




See previous articles

    

See next articles