Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • 5 prédictions de sécurité pour IoT et PKI en 2016

5 prédictions de sécurité pour IoT et PKI en 2016

En 2016, le besoin d'identités numériques fiables deviendra primordial pour la sécurité globale de l'Internet mondial. Alors que les entreprises continuent de se préparer à affronter les cyberadversaires et cherchent à sécuriser l'Internet des objets (IoT), l'infrastructure à clé publique (PKI ) refait surface en tant que technologie économique, fiable et éprouvée qui offre une solution sûre et performante.

Prévision 1 : PKI connaît une croissance exponentielle et s'impose comme la norme de facto pour l'identification, l'authentification et le cryptage numériques.

Pourquoi en sommes-nous convaincus ? Alors que SSL/TLS continue d'être largement utilisé pour sécuriser la navigation sur le web, le CSS a vu une utilisation répandue de PKI "maison" pour les applications commerciales afin d'authentifier les données, les appareils, les applications et les utilisateurs. Les entreprises offrant un accès à des produits, des services et des outils basés sur le cloud, le besoin de SSL/TLS reste important. L'étude Thales Ponemon 2015 PKI Global Trends Study indique que les principales tendances qui ont motivé l'utilisation de PKI en 2015 sont les services basés sur le cloud, la gestion des appareils mobiles et les applications mobiles. Malgré les vulnérabilités identifiées au cours des deux dernières années, notamment Heartbleed, FREAK, POODLE et Apple man-in-the-middle, PKI continue d'être l'épine dorsale de confiance pour l'émission de clés cryptographiques fortes pour les certificats SSL/TLS .

Qu'est-ce que cela signifie pour les entreprises ? Chaque organisation doit être proactive dans l'utilisation, l'émission, la surveillance et le rapport des environnementsSSL /TLS/PKI . CSS Research a identifié que près de 12% de tous les certificats publiés sur Internet appartiennent à des appareils et non à des sites web. Un site PKI correctement mis en œuvre et géré contient un cadre hautement sécurisé et rentable permettant d'émettre des certificats de confiance pour toute une série de cas d'utilisation. Pour ces raisons, les organisations établissent régulièrement leur propre PKI interne et nombre d'entre elles gèrent des millions de certificats, voire plus, afin d'offrir une authentification, un cryptage et une signature de l'identité numérique pour les services en nuage, les appareils mobiles et les applications mobiles.

Prédiction 2 : PKI s'imposera comme la meilleure pratique en matière d'identification, d'authentification et de communications sécurisées pour les appareils IoT .

Pourquoi croyons-nous cela ? Les entreprises continuent de lancer des innovations sur le site IoT afin de personnaliser les produits et services des clients dans le but de rendre les choses plus rapides, meilleures et plus accessibles. Ces innovations permettent aux entreprises d'augmenter leurs revenus, d'améliorer leur efficacité opérationnelle, de répondre aux exigences réglementaires, d'améliorer la sécurité et de protéger leurs actifs. L'état du marché de Verizon L'Internet des objets 2015 prévoit que le marché IoT passera de 1,2 milliard de connexions en 2014 à 5,4 milliards de connexions en 2020. S'ils ne sont pas correctement identifiés, authentifiés et sécurisés, les appareils IoT peuvent ouvrir et amplifier de multiples menaces pour les entreprises. Les cybermenaces, les pannes et les violations de données sont en passe d'avoir un impact significatif sur le chiffre d'affaires et la réputation d'entreprises en pleine croissance dans le monde entier.

Qu'est-ce que cela signifie pour les entreprises ? L'authentification sécurisée pour les appareils IoT doit être évolutive et rentable. Les méthodes traditionnelles d'authentification numérique peuvent ne pas être aussi sûres, rentables ou efficaces pour le type et le volume d'appareils, de données, de personnes et d'applications qui doivent être authentifiés, cryptés ou signés. De plus, l'achat de certificats tiers contribue considérablement aux dépenses liées aux produits et services. "En fin de compte, il est de plus en plus nécessaire de lier l'identité et les clés, et les certificats numériques constituent toujours un moyen très évolutif d'y parvenir", déclare Ted Shorter, directeur technique de CSS. Bien qu'il puisse sembler relativement facile de mettre en place une autorité de certification, les ressources et l'expertise nécessaires pour planifier, mettre en œuvre et gérer un environnement PKI de haute confiance sont rares et coûteuses. En outre, les entreprises qui émettent un grand nombre de certificats reconnaissent le besoin de solutions pour surveiller et gérer les certificats afin de réduire les risques d'expiration et d'utilisation malveillante.

Prévision 3 : Les violations de l'autorité de certification (AC), les défauts de mise en œuvre et les attaques de type "man-in-the-middle" (MiTM) vont s'aggraver avant de s'améliorer.

Pourquoi en sommes-nous convaincus ? Plus l'utilisation des certificats numériques augmente, plus les possibilités de tentatives malveillantes d'accès et d'utilisation de ces certificats pour violer des données et des systèmes augmentent. Il existe plusieurs exemples très médiatisés dans lesquels des pirates se sont introduits dans une autorité de certification pour émettre des certificats frauduleux. Les logiciels malveillants peuvent être utilisés pour compromettre les certificats, comme cela s'est produit avec Superfish, dont le logiciel publicitaire a installé un certificat racine auto-généré dans le magasin de certificats de Windows et a résigné les certificats SSL présentés par les sites HTTPS avec son propre certificat, permettant potentiellement aux pirates d'accéder à des données et des activités sensibles. En outre, de nouveaux exemples créatifs d'attaques MiTM appliquées aux navigateurs, au nuage, aux applications, aux appareils mobiles, au WiFi et à IoT continuent d'être lancés. Avec l'avènement d'outils peu coûteux et facilement disponibles, même des cybercriminels peu avertis ont été en mesure de mener ce type d'attaques.

Qu'est-ce que cela signifie pour les entreprises ? Il s'agit d'un environnement sophistiqué qui nécessite une approche proactive. Alors que l'augmentation des risques de violation met en péril les consommateurs et les organisations, des exigences accrues en matière de réglementation et de conformité apparaissent également, ce qui pousse les entreprises à reconsidérer l'importance de la sécurité dans la conception de leurs produits. Les organisations deviennent très vigilantes dans la mise en œuvre, la gestion et le suivi des politiques, des processus et des technologies PKI afin de protéger les actifs critiques, les clients et les revenus. Il est essentiel d'établir et de maintenir des politiques solides autour de l'environnement PKI , en particulier en ce qui concerne la sécurisation des clés PKI . Les organisations qui exercent un contrôle direct sur leurs certificats seront mieux à même d'identifier les vulnérabilités liées aux certificats et d'y répondre. Les entreprises qui gèrent leur propre inventaire centralisé, le contrôle et la gestion de tous les certificats seront nettement moins exposées et moins exposées aux risques pour leurs opérations. Enfin, des protocoles PKI établis et respectés, des modules de sécurité Hardware , des appareils de gestion des clés, des services de gestion des certificats software et des services gérés PKI peuvent aider à éviter les problèmes de mise en œuvre et à réduire les violations, les pannes et les fraudes.

Prévision 4 : La transparence des certificats et l'épinglage des certificats de Google permettront d'identifier les utilisations abusives de certificats.

Pourquoi croyons-nous cela ? Le secteur a besoin de nouveaux outils et de nouvelles technologies pour aider à identifier les abus de certificats. Le projet Certificate Transparency de Google est un cadre ouvert et public qui permet de s'appuyer sur ses composants de base ou d'y accéder pour surveiller et auditer les certificats SSL . La surveillance en temps quasi réel permet de détecter les certificats SSL qui ont été émis par erreur par une autorité de certification ou acquis de manière malveillante auprès d'une autorité de certification par ailleurs irréprochable. Il permet également d'identifier les autorités de certification qui sont devenues des voyous et qui émettent des certificats de manière malveillante.

Lors de l'établissement d'une connexion SSL , la session SSL vérifie que le certificat d'un serveur possède une chaîne de confiance valide jusqu'au certificat racine et que le nom d'hôte correspond à ce qui est demandé. La session SSL ne vérifie pas que le certificat est bien celui qui a été installé à l'origine sur le serveur par le propriétaire légitime. L'épinglage de certificats offre une solution pour améliorer la vérification de la légitimité d'un certificat en épinglant le certificat du serveur (élimine la nécessité de valider la chaîne ou la confiance de l'autorité de certification) ou en épinglant le certificat de l'autorité de certification utilisé pour signer le certificat du serveur (limite la confiance aux certificats signés par un ensemble limité d'autorités de certification) pour aider à minimiser le risque de faire confiance à un certificat provenant d'une autorité de certification compromise. Il s'agit essentiellement d'établir l'option de faire confiance à "ce certificat uniquement" ou de faire confiance à "seulement les certificats signés par ce certificat".

Qu'est-ce que cela signifie pour les entreprises ? LesRSSI doivent s'assurer que leurs organisations restent au fait des initiatives des principaux fournisseurs. Les principaux avantages du projet Certificate Transparency de Google sont l'amélioration de la conformité et de la surveillance du secteur pour les autorités de certification publiques et privées. L'outil a déjà fait ses preuves en découvrant des certificats non autorisés émis par Symantec qui permettent aux détenteurs de certificats de se faire passer frauduleusement pour des pages web sécurisées de Google. Les organisations peuvent utiliser ce type d'outils pour mener des recherches et créer des outils de surveillance afin de faciliter l'adhésion à l'industrie et la surveillance, ainsi que pour protéger les actifs critiques - données, appareils, applications et personnes. Quant à l'épinglage de certificats, les développeurs d'applications mobiles ont commencé à adopter cette méthode pour réduire le risque d'interception des connexions par des tiers.

Prédiction 5 : SHA-1 sera exploité pour fabriquer un faux certificat "entièrement valide" à partir d'un vrai certificat.

Pourquoi le croyons-nous ? La recherche continue d'apporter des preuves de la faiblesse de l'algorithme de signature SHA-1 et du moment où il est susceptible d'être craqué par une collision de hachage. Les projections des coûts informatiques et financiers et du temps nécessaire pour casser SHA-1 ont considérablement diminué au fil des ans. Alors que le hachage de différents messages devrait produire des hachages uniques, les collisions réelles peuvent conduire à la production de la même valeur de hachage pour différents messages, ce qui peut être exploité pour créer de faux certificats. En 2012, on estimait qu'une collision SHA-1 pouvait se produire d'ici 2015, pour un coût de 700 000 dollars. Aujourd'hui, les mêmes experts estiment qu'elle pourrait se produire d'ici 2018, pour un coût de 173 000 dollars seulement. Selon une autre estimation, une collision freestart pourrait être réalisée en quelques mois en utilisant une puissance informatique similaire à celle du nuage EC2 d'Amazon, pour un coût compris entre 75 000 et 120 000 dollars, bien que cette attaque particulière impose des restrictions de formatage qu'il serait difficile de respecter dans le cadre d'un certificat X.509.

Qu'est-ce que cela signifie pour les entreprises ? Les entreprises, grandes ou petites, sont aujourd'hui vulnérables et réagir après une violation peut s'avérer coûteux et se chiffrer rapidement en millions de dollars. Les mesures correctives peuvent se chiffrer en millions de dollars. 173 000 dollars et/ou quelques mois de puissance informatique sont à la portée des cybercriminels. Grâce à la baisse des coûts et aux progrès croissants de la puissance de calcul et de la cryptanalyse, la question est de savoir "quand" et non "si" une collision SHA-1 se produira. Mais il ne suffit pas de faire correspondre un hachage, la vraie magie consistera à créer une "réplique exacte" d'un certificat. Une fois qu'il aura été prouvé qu'un faux certificat "entièrement valide" a été créé à partir d'un vrai certificat et qu'il existe dans la nature, l'industrie accélérera la migration vers SHA-2. CSS Research indique que le pourcentage de certificats signés avec SHA-1 représente plus de 51 % du total des certificats publiés sur l'internet. M. Shorter fait remarquer que "bien que nous n'ayons pas encore vu d'attaque par collision de certificats SHA-1 dans la nature, il est clair que l'algorithme SHA-1 est extrêmement vulnérable et qu'il s'affaiblit sans cesse. Les organisations devraient avoir terminé leur migration vers SHA-2 ou être en train de le faire. Le risque lié à la poursuite de l'utilisation des certificats SHA-1 est trop important pour qu'une entreprise puisse l'ignorer".

Prévision 6 : PKI Les services gérés vont augmenter et être adoptés comme la meilleure pratique.

Pourquoi croyons-nous cela ? Selon l'étude Thales Ponemon 2015 PKI Global Trends Study, une majorité d'entreprises déclarent ne pas savoir - ou ne pas vouloir - gérer toutes les complexités de PKI. Shorter déclare : "Nous constatons une augmentation du nombre de cas d'utilisation de PKI qui sont motivés par la conformité et la sécurité, bien que les entreprises ne sachent pas vers qui se tourner pour obtenir l'expertise de PKI ."

Qu'est-ce que cela signifie pour les entreprises ? PKI deviendra un actif essentiel qui nécessitera à la fois une gestion professionnelle et des services spécialisés. Les experts dePKI ayant une connaissance spécifique de la technologie, des politiques et des processus nécessaires pour établir et maintenir des niveaux élevés de confiance sont rares et de nombreuses organisations ne veulent pas (ou ne sont pas en mesure) de recruter de tels talents spécifiques. Le manque de personnel expérimenté met en danger le site PKI et les applications, données, appareils et personnes qui en dépendent. Les options de sécurité en tant que service basées sur le cloud deviennent de plus en plus populaires car les entreprises cherchent à équilibrer leurs besoins, leur expertise interne et leurs budgets - choisissant souvent de décharger la gestion de technologies complexes ou non essentielles à des experts.

Vous avez des questions sur l'identité numérique ?

Lorsque vous évaluez les options de mise en œuvre et de gestion de PKI, pensez à consulter CSS. Nos équipes de recherche, de services professionnels et de développement CSS sont composées d'experts dans le domaine de l'identité numérique. Depuis plus d'une décennie, nous sommes les conseillers de confiance en matière de sécurité de plus de la moitié des entreprises du classement Fortune 500.

2016 PKI IoT  Prédictions