De nombreux objets du quotidien dans les pays développés sont désormais connectés à Internet, souvent de manière inexplicable. Cela ajoute une autre couche de défaillance technologique potentielle qui, pour les appareils personnels, peut être une nuisance amusante : des stores qui n'ouvrira pas, des micro-ondes qui ne vous ajustez pas aux changements d'heure, les réfrigérateurs qui besoin de mises à jour du firmware.
Mais dans l'entreprise, lorsque les appareils Internet des objets tombent en panne, ce n'est pas une blague sur Twitter. Les chaînes de montage des usines s’arrêtent. Les moniteurs de fréquence cardiaque dans les hôpitaux sont mis hors ligne. Les tableaux intelligents des écoles primaires s’éteignent.
Les pannes d'appareils intelligents constituent un risque croissant dans le monde de l'entreprise, et pas seulement en raison du des soucis de sécurité souvent évoqués. En effet, les certificats racine de certains de ces appareils, nécessaires pour se connecter à Internet en toute sécurité, expirent.
"Les appareils doivent savoir à quoi faire confiance, c'est pourquoi le certificat racine est intégré à l'appareil comme outil d'authentification", explique Scott Helme, chercheur en sécurité qui a beaucoup écrit sur le problème d'expiration du certificat racine. « Une fois que l'appareil est dans la nature, il essaie d'appeler « domicile » – une API ou le serveur du fabricant – et il vérifie ce certificat racine pour dire : « Oui, je me connecte à cet élément sécurisé correct. » Essentiellement, [un certificat racine est] une ancre de confiance, un cadre de référence permettant à l'appareil de savoir à quoi il s'adresse.
En pratique, cette authentification s'apparente à une toile ou à une chaîne. Les autorités de certification (AC) délivrent toutes sortes de certificats numériques, et les entités « communiquent » entre elles, parfois à plusieurs niveaux. Mais le premier et le plus important maillon de cette chaîne est toujours le certificat racine. Sans cela, aucun des niveaux ci-dessus ne pourrait rendre les connexions possibles. Ainsi, si un certificat racine cesse de fonctionner, l'appareil ne peut pas authentifier la connexion et ne se connecte pas à Internet.
Voici le problème : le concept du Web crypté s'est développé vers 2000 – et les certificats racine ont tendance à être valides pendant environ 20 à 25 ans. En 2022, nous sommes donc en plein milieu de cette période d’expiration.
Les autorités de certification ont émis de nombreux nouveaux certificats racine au cours des deux dernières décennies, bien avant leur expiration. Cela fonctionne bien dans le monde des appareils personnels, où la plupart des gens passent fréquemment à de nouveaux téléphones et cliquent pour mettre à jour leurs ordinateurs portables, afin de disposer de ces certificats plus récents. Mais dans l’entreprise, il peut être bien plus difficile, voire impossible, de mettre à jour un appareil – et dans des secteurs comme l’industrie manufacturière, les machines peuvent effectivement encore être dans les usines 20 à 25 ans plus tard.
Sans connexion Internet, « ces appareils ne valent rien », déclare Kevin Bocek, vice-président de la stratégie de sécurité et des renseignements sur les menaces chez Venafi, fournisseur de services de gestion des identités des machines. « Ils deviennent essentiellement des briques [lorsque leurs certificats racine expirent] : ils ne peuvent plus faire confiance au cloud, ne peuvent plus prendre de commandes, ne peuvent pas envoyer de données, ne peuvent plus prendre en charge les mises à jour logicielles. C'est un risque réel, surtout si vous êtes un fabricant ou un opérateur quelconque.
Un coup de semonce
Le risque n'est pas théorique. Le 30 septembre, un certificat racine délivré par la massive CA Chiffrons expiré - et plusieurs services sur Internet sont tombés en panne. L'expiration n'était pas une surprise, car Let's Encrypt avertissait depuis longtemps ses clients de mettre à jour vers un nouveau certificat.
Pourtant, Helme a écrit dans un blog récents 10 jours avant l'expiration, "Je parie que certaines choses vont probablement se casser ce jour-là." Il avait raison. Certains services de Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 et bien d'autres sociétés ont échoué.
"Et ce qui est étrange à ce sujet", explique Helme à Dark Reading, "c'est que les endroits utilisant Let's Encrypt sont par définition très modernes - vous ne pouvez pas simplement aller sur leur site Web, payer vos 10 $ et télécharger votre certificat à la main. Cela doit être fait par une machine ou via leur API. Ces utilisateurs étaient avancés et cela restait un très gros problème. Alors, que se passe-t-il lorsque nous constatons des [expirations] provenant des autorités de certification les plus anciennes qui comptent ces grandes entreprises clientes ? L’effet d’entraînement sera sûrement plus important.
La voie à suivre
Mais avec certains changements, cet effet d'entraînement n'est pas nécessaire, explique Bocek de Venafi, qui considère le défi comme un défi de connaissance et de chaîne de commandement – il voit donc des solutions à la fois dans la sensibilisation et dans une collaboration précoce.
« Je suis vraiment enthousiasmé lorsque je vois les responsables de la sécurité et leurs équipes s'impliquer au niveau du fabricant et du développeur », déclare Bocek. « La question n'est pas simplement : « Pouvons-nous développer quelque chose de sûr ? mais "Pouvons-nous continuer à l'exploiter?" Il existe souvent une responsabilité partagée en matière d'exploitation de ces appareils connectés à grande valeur, nous devons donc être clairs sur la manière dont nous allons gérer cela en tant qu'entreprise.
Des conversations similaires ont lieu dans le secteur des infrastructures, déclare Marty Edwards, directeur technique adjoint pour la technologie opérationnelle et l'IoT chez Tenable. Il est ingénieur industriel de formation et a travaillé avec des sociétés de services publics et le département américain de la Sécurité intérieure.
« Franchement, dans l’espace industriel comprenant les services publics et les usines, tout événement entraînant une interruption ou une perte de production est préoccupant », déclare Edwards. « Ainsi, dans ces cercles spécialisés, les ingénieurs et les développeurs examinent certainement les impacts [de l'expiration des certificats racine] et comment nous pouvons y remédier. »
Bien qu'Edwards souligne qu'il est « optimiste » quant à ces conversations et à la pression exercée sur les considérations de cybersécurité pendant le processus d'approvisionnement, il estime qu'une surveillance réglementaire accrue est également nécessaire.
« Quelque chose comme une norme de soins de base qui pourrait inclure des précisions sur la façon de maintenir l'intégrité d'un système de certificats », explique Edwards. « Il y a eu des discussions entre divers groupes de normalisation et les gouvernements sur la traçabilité des appareils critiques, par exemple. »
Quant à Helme, il aimerait voir les machines d'entreprise configurées pour les mises à jour d'une manière réaliste et peu ardue pour l'utilisateur ou le fabricant – un nouveau certificat délivré et une mise à jour téléchargée tous les cinq ans, peut-être. Mais les fabricants ne seront pas incités à le faire à moins que les entreprises clientes ne le fassent pression, note-t-il.
"En général, je pense que c'est un problème que l'industrie doit résoudre", reconnaît Edwards. « La bonne nouvelle est que la plupart de ces défis ne sont pas nécessairement technologiques. Il s'agit davantage de savoir comment tout cela fonctionne et de mettre en place les bonnes personnes et les bonnes procédures.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
