Infrastructure à clé publique et IoT Prédictions en matière de sécurité pour 2017

En 2017, l'infrastructure à clé publique (PKI ) continuera à consolider sa place en tant que norme fondamentale d'identification, d'authentification et de cryptage numériques, en particulier à mesure que l'Internet des objets (IoT ) évolue et que les préoccupations en matière de sécurité s'intensifient. La nécessité de disposer d'identités numériques fiables deviendra primordiale pour la sécurité globale de l'internet. Alors que les entreprises tentent de sécuriser le site IoT, PKI réapparaît comme une technologie rentable et éprouvée qui offre une solution sûre et performante.

Comme prévu l'année dernière, les certificats SSL/TLS sont toujours couramment utilisés pour sécuriser la navigation sur le web, et le CSS continue d'observer l'utilisation répandue de PKI en interne pour authentifier les données, les appareils, les applications et les utilisateurs au sein des applications commerciales.

Compte tenu de l'omniprésence des produits, services et outils basés sur le cloud, SSL/TLS est certainement nécessaire. L'étude Thales Ponemon 2016 PKI Global Trends Study a révélé que les tendances les plus influentes pour l'utilisation de PKI sont toujours les suivantes :

• Services basés sur l'informatique en nuage - 61 % des répondants
• Téléphonie mobile grand public - 52 % des personnes interrogées
• Internet des objets - 28 % des personnes interrogées (contre 21 % en 2015)

De nombreuses vulnérabilités concernant les certificats SSL et les points de terminaison ont été identifiées au cours des deux dernières années, plus récemment DROWN, "Severe", Sparkle, BadLock, et des attaques plus anciennes comme Heartbleed, FREAK, POODLE et Apple man-in-the-middle. Malgré ces attaques, PKI continue d'être l'épine dorsale de confiance pour l'authentification sécurisée. La transparence des certificats est une pratique émergente basée sur PKI qui garantit la sécurité des certificats SSL orientés vers l'internet. Face à l'évolution constante des menaces, les pratiques basées sur PKI se sont révélées être "la meilleure option de sécurité" à l'heure actuelle.

Chaque organisation, quel que soit son secteur d'activité, doit être proactive pour garantir la sécurité et l'utilisation correcte des environnements PKI ainsi que l'émission, la surveillance et le rapport des certificats SSL/TLS . CSS Research a déterminé que seulement 15 % des entreprises achètent 1 000 certificats tiers ou plus. CSS Research a également identifié que près de 12% de tous les certificats publiés sur Internet appartiennent à des appareils, et non à des sites web - la montée en puissance de IoT se poursuit. Si l'on considère la situation dans son ensemble, le nombre total de certificats sur l'internet continue d'augmenter et CSS Research suggère que les facteurs déterminants sont à la fois les certificats numériques émis à partir d'un site PKI dédié à l'entreprise et les appareils IoT .

Une infrastructure de clés publiques (PKI) correctement mise en œuvre et bien gérée ( PKI ) représente un cadre hautement sécurisé et rentable permettant d'émettre des certificats de confiance pour toute une série de cas d'utilisation. En conséquence, les organisations établissent régulièrement leurs propres ICP internes dédiées à l'entreprise et nombre d'entre elles gèrent des millions de certificats, voire plus, afin d'offrir une authentification, un cryptage et une signature de l'identité numérique pour les services en nuage, les appareils mobiles et les applications mobiles.

Les entreprises continuent de développer et de lancer des innovations sur le site IoT qui personnalisent les produits et les services dans le but de rendre la vie plus rapide, meilleure et plus accessible. Les progrès du site IoT aident les entreprises à augmenter leurs revenus, à améliorer leur efficacité opérationnelle, à répondre aux exigences réglementaires, à améliorer la sécurité et à protéger leurs actifs. Selon Gartner, le marché mondial IoT passera de 591,7 milliards de dollars (en 2014) à 1,3 billion de dollars en 2019, et le nombre de terminaux IoT connectés dépassera les 25,6 milliards en 2019, pour atteindre 30 milliards en 2020.

Il s'agit d'un marché prometteur à croissance rapide. Cependant, s'ils ne sont pas correctement identifiés, authentifiés et sécurisés, les appareils IoT peuvent ouvrir et amplifier de multiples menaces pour les entreprises. Les cybermenaces, les pannes et les violations de données sont sur le point d'avoir un impact significatif sur le chiffre d'affaires et la réputation des entreprises en croissance dans le monde entier si la sécurité de IoT ne rattrape pas son retard.

L'authentification sécurisée pour les appareils IoT doit être évolutive et rentable. Les méthodes traditionnelles d'authentification numérique peuvent ne pas être aussi sûres, rentables ou efficaces pour le type et le volume d'appareils, de données, de personnes et d'applications qui doivent être authentifiés, cryptés ou signés. De plus, l'achat de certificats tiers contribue considérablement aux dépenses liées aux produits et aux services.

"Les mots de passe et les clés partagées ne fonctionnent pas bien pour l'authentification des utilisateurs et sont encore pires pour l'authentification des appareils", commente Wayne Harris, consultant principal chez CSS. "Nous voyons déjà des appareils IoT utilisés pour des attaques DDoS, et nous prévoyons que d'autres seront ciblés en 2017."

Malgré les brèches dans le nuage et les vulnérabilités du SaaS, l'hésitation à placer des systèmes et des applications critiques dans le nuage s'estompe dans tous les secteurs d'activité. Il y a cinq ans, la peur d'avoir des serveurs dans le nuage a empêché de nombreuses organisations de profiter d'une myriade d'avantages opérationnels, mais aujourd'hui, la plupart d'entre elles ont réalisé les avantages économiques de la liberté de gérer l'infrastructure afin de se concentrer sur ce qui est essentiel pour l'entreprise.

L'adoption croissante des certificats combinée à la diminution des réticences à l'égard de l'informatique en nuage signifie que PKI se déplace vers l'informatique en nuage en même temps que ses homologues de la cybersécurité, et les entreprises qui cherchent à optimiser les coûts et l'efficacité opérationnelle auraient tout intérêt à envisager l'utilisation de l'informatique en nuage PKI.

"Notre service à la croissance la plus rapide est le service d'entreprise basé sur le nuage PKI. Plus sûre et plus rentable, cette solution permet d'accéder au site PKI dans le nuage pour IoT", commente Ted Shorter, directeur technique de CSS.

La communauté de la cybersécurité sait que l' algorithme de signature SHA-1 est faible et qu'il finira par être craqué par une collision de hachage, et les prévisions concernant les coûts et le temps nécessaires pour craquer SHA-1 ont de plus en plus diminué. Alors que le hachage de différents messages devrait produire des hachages uniques, les collisions réelles peuvent conduire à la production de la même valeur de hachage pour différents messages, ce qui peut être exploité pour créer de faux certificats.

En 2012, Bruce Schneier a prédit qu'une collision SHA-1 pourrait se produire d'ici 2015 et coûter 700 000 dollars. La même étude estime qu'elle pourrait se produire d'ici 2018 pour un coût de 173 000 dollars seulement. Selon une autre estimation, une collision freestart pourrait être réalisée en quelques mois en utilisant une puissance informatique similaire à celle du nuage EC2 d'Amazon pour un coût compris entre 75 000 et 120 000 dollars, bien que cette attaque particulière impose des restrictions de formatage qu'il serait difficile de respecter dans le cadre d'un certificat X.509.

Les grandes et les petites entreprises sont extrêmement vulnérables, et la réaction après une intrusion peut rapidement dépasser les millions de dollars, de même que la remédiation. De plus, dans l'environnement actuel, 173 000 dollars et/ou quelques mois de puissance de calcul sont largement à la portée des cybercriminels. Compte tenu de la baisse des coûts et des progrès réalisés en matière de puissance de calcul et de cryptanalyse, la question est de savoir "quand" et non "si" une collision SHA-1 se produira.

M. Shorter a déclaré : "Nous avons continué à surveiller et nous n'avons toujours pas vu d'attaque par collision de certificats SHA-1 dans la nature, ce qui est une bonne chose. Mais cela ne veut pas dire qu'elle n'est pas imminente, et le fait que l'algorithme SHA-1 soit très vulnérable est indiscutable. Toutes les entreprises devraient déjà avoir migré vers SHA-2, et celles qui ne le font pas doivent en faire une priorité absolue. Les vulnérabilités et la cryptographie pratique mises à part, les navigateurs n'accepteront bientôt plus du tout l'algorithme SHA-1."

CSS Research indique que le pourcentage de certificats encore signés avec SHA-1 s'élève à plus de 46 % du total des certificats publiés sur l'internet.

La blockchain s'est imposée, continuant à se développer et à attirer l'attention. En 2017, elle atteindra probablement son apogée dans le Hype Cycle de Gartner, comme le rapporte CoinDesk, mais la communauté technologique en entendra certainement parler davantage.

À l'heure actuelle, une certaine dichotomie s'installe parmi ceux qui observent le développement de la technologie blockchain. D'une part, de nombreuses personnes au sein de la communauté technologique ne comprennent pas pleinement ses applications au-delà du fait qu'elles servent de système de registre pour les applications financières. Gartner a déclaré que la blockchain est actuellement utilisée par moins de 1 % de son audience totale. D'autre part, de nombreux utilisateurs de la communauté technologique semblent célébrer son émergence avec des "attentes exagérées" quant à ses avantages, à l'instar de l'entrée sur le marché de IoT.

Ce n'est pas que la blockchain ne sera pas transformationnelle ; l'impact et l'influence seront significatifs. Mais la blockchain est encore en train de trouver sa place, et son adoption correcte dépendra en grande partie du niveau d'expertise des personnes chargées de la mise en œuvre, ainsi que des questions critiques de gouvernance et de conformité de la blockchain.

Il est important de noter que PKI et la blockchain ne s'excluent nullement l'un l'autre - ils ont des fonctions totalement différentes. Alors que la blockchain est encore en train de s'installer dans son rôle, PKI reste une technologie éprouvée et de longue date pour l'émission sécurisée de certificats numériques, qui s'applique à un large éventail de cas d'utilisation et continuera d'être utilisée et adoptée par les organisations de sécurité dans tous les secteurs d'activité.

L'internet des objets offre des possibilités infinies dans pratiquement tous les secteurs d'activité imaginables. Il existe aujourd'hui un nombre considérable d'appareils connectés, et un nombre apparemment insondable d'appareils connectés seront actifs à l'avenir. Aujourd'hui, il ne reste plus beaucoup d'appareils qui ne peuvent pas être connectés à l'internet, ce qui satisfait les consommateurs avides de données et de résultats instantanés, mais laisse les fabricants face à un dilemme persistant : comment le site IoT sera-t-il sécurisé ?

Les entreprises sont plus préoccupées par la mise sur le marché rapide d'un produit que par la mise en œuvre correcte de contrôles de sécurité appropriés, ce qui pèse sur la sécurité globale des dispositifs IoT . En outre, les anciens processus de correction de software ne sont pas envisageables pour des dispositifs IoT éventuellement disparates, tels qu'une ampoule électrique qui ne sera plus jamais entre les mains d'un développeur, ce qui réduit encore davantage la capacité à exercer des contrôles de sécurité appropriés sur ces dispositifs. Aucun secteur n'aurait pu prévoir l'ampleur que prendrait le site IoT , ni l'évolution des implications en matière de sécurité qui l'accompagnerait. Aujourd'hui, les violations sont plus nombreuses que jamais et les moyens d'y parvenir se multiplient chaque jour. Les appareils IoT sont de plus en plus utilisés dans les attaques DDoS parce qu'ils sont connectés à un réseau et qu'ils présentent des faiblesses supplémentaires en raison des exigences peu rigoureuses en matière de mot de passe.

Pourtant, il n'existe toujours pas de cadre cohérent couvrant l'ensemble des industries, ou même s'appliquant à des secteurs verticaux spécifiques, qui régisse l'utilisation de IoT et les pratiques de sécurité - l'automobile et les appareils de soins de santé en sont de parfaits exemples. De multiples facteurs influencent le niveau de complexité qui rend le site IoT difficile à gérer. Tout d'abord, les cycles de conception sont longs. Par conséquent, il faut beaucoup de temps pour mettre en œuvre la sécurité dans les objets, en particulier lorsque la sécurité n'est envisagée qu'après coup. Deuxièmement, de nombreux produits sont commercialisés sans possibilité de mise à niveau. Pour de nombreux consommateurs, la mise à niveau consiste à acheter un nouveau produit.

Il y a cependant un point positif. Même si l'on s'attend à ce que les problèmes de sécurité auxquels le site IoT est confronté s'aggravent avant qu'une solution largement applicable ne soit identifiée, il existe des contrôles que les fabricants peuvent mettre en œuvre dans l'intervalle. De nombreuses entreprises choisissent d'intégrer des solutions de sécurité clés en main dans les objets ; les services gérés PKI deviennent une pratique courante dans le secteur IoT.

Il est essentiel pour la réussite d'une entreprise d'être préparée à la vitesse à laquelle évolue la cybersécurité ; tant de choses changent dans l'ensemble des technologies de l'information. La meilleure façon pour votre entreprise de prendre le contrôle est de garder la bonne expertise sur le pont au fur et à mesure que vos stratégies informatiques et de sécurité évoluent.

Lorsque vous évaluez les options de mise en œuvre et de gestion de PKI, pensez à consulter CSS. Nos équipes de recherche, de services professionnels et de développement CSS sont composées d'experts dans le domaine de l'identité numérique. Depuis plus d'une décennie, nous sommes les conseillers de confiance en matière de sécurité de plus de la moitié des entreprises du classement Fortune 500.