Les plus grandes pannes de certificat en 2023 et ce que nous pouvons en apprendre

Les organisations s'appuient sur PKI, les clés cryptographiques et les certificats numériques pour connecter en toute sécurité plus d'utilisateurs, de machines et d'applications que jamais dans leur environnement informatique. Cependant, les entreprises ont de plus en plus de mal à gérer le paysage croissant des identités PKI et des machines. 

La prise de conscience des défis liés aux certificats ne se traduit pas toujours par leur résolution, comme le montre le rapport sur l'état de la gestion de l'identité des machines de 2023 de la Commission européenne. KeyfactorL'état de la gestion de l'identité des machines dans le rapport 2023 de révèle :

• Les dirigeants soutiennent de plus en plus la gestion des identités des machines... mais de plus en plus d'entreprises affirment que la gestion des clés et des certificats a alourdi la charge opérationnelle de leurs équipes. 
• Davantage d'organisations déclarent avoir une stratégie de gestion des identités mature à l'échelle de l'organisation... mais davantage d'organisations déclarent également ne pas savoir exactement combien de clés et de certificats elles possèdent.
• La réduction de la complexité de PKI et la prévention des pannes liées aux certificats sont les principales priorités de la gestion de l'identité des machines. Pourtant, l'organisation moyenne utilise neuf solutions différentes de PKI et d'autorité de certification.

Ces complications augmentent la probabilité de de pannes et de temps d'arrêt liés à l'obtention d'un certificat et des temps d'arrêt liés aux certificats. Ces interruptions compromettent la marque dans l'esprit des clients et entraînent des coûts de remédiation importants.

Avec l'explosion des identités numériques et des certificats au sein d'une organisation moyenne, la gestion de centaines de milliers de certificats n'est pas une mince affaire. 

En 2023, nous avons vu que même les entreprises les plus sophistiquées trouvent que la gestion des certificats est un défi. Ces défaillances permettent de tirer des enseignements sur la manière dont les organisations peuvent comprendre et prévenir les pannes liées aux certificats et mieux gérer leur site PKI.

En juillet, une panne de certificat a mis hors service Microsoft TeamsOutlook et d'autres services. Bien que Microsoft ait trouvé et corrigé le problème en quelques minutes, les utilisateurs ont tout de même subi des interruptions pendant quelques heures.

Une enquête plus approfondie a révélé que le certificat allemand TLS de sharepoint.de avait été ajouté par erreur au domaine primaire sharepoint.com. 

Bien que cet incident ne soit en aucun cas un désastre, il montre à quel point il est facile de commettre une erreur de certificat. En retirant autant que possible la gestion des certificats des mains de l'homme, on réduit le risque d'erreur humaine. Lorsque les organisations cherchent à rationaliser la gestion des certificats, elles doivent chercher à automatiser autant que possible.

En avril, les satellites Starlink de SpaceX sont tombés en panne pendant plusieurs heures, affectant les utilisateurs du monde entier. Le PDG de SpaceX, Elon Musk, s'est rendu sur Twitter/X pour indiquer qu'un "certificat de station au sol expiré" en était la cause.

Plus précisément, les experts ont supposé que le certificat expiré était un certificat TLS , qui aurait entraîné la mise hors ligne d'un site web ou d'une application basée sur le web. M. Musk a ensuite déploré que cette "vulnérabilité ponctuelle" soit "inexcusable".

Il a raison. D'une part, l'organisation moyenne conserve plus d'un quart de million de certificats, l'organisation moyenne gère plus d'un quart de million de certificats à tout moment. Il suffit qu'un seul certificat non suivi arrive à expiration pour que les opérations soient interrompues.

D'autre part, les entreprises de Musk se positionnent toutes comme des perturbateurs. Starlink a atteint un million d'utilisateurs en 2022. Dans la bataille pour convaincre les gens de faire confiance à une nouvelle façon de faire les choses, des interruptions comme celle-ci peuvent ralentir l'adoption, nuire à la marque et causer des perturbations importantes dans l'intervalle. 

En 2021, Microsoft a remanié son application Horloge pour Windows 11, en y ajoutant une intégration Spotify qui diffuse des chansons parfaites pour travailler en profondeur. Spotify a même créé quelques listes de lecture axées sur la productivité pour enrichir l'expérience d'intégration.

Mais en février 2023, la fonction s'est arrêtée et est restée arrêtée pendant des mois. Les utilisateurs ne pouvaient plus lier leurs comptes Spotify à l'application Horloge. Après que les utilisateurs se soient plaints sur les forums d'assistance de Spotify et de Microsoft, Spotify a identifié un problème.

En raison d'un certificat expiré, l'en-tête oATH envoyé à l'API de Spotify n'était plus valide. En d'autres termes, l'erreur se situe du côté de Microsoft.

Il aurait dû s'agir d'une correction rapide, mais les utilisateurs ont été frustrés par la persistance du problème.

Cet incident montre comment une panne de certificat peut empoisonner le puits d'une nouvelle fonctionnalité ou d'une intégration.

Dans notre monde de services numériques, il est facile d'oublier que la création d'un nouveau service s'accompagne d'un certain degré de maintenance - des certificats, en l'occurrence. Lorsqu'elles lancent de nouvelles offres, les organisations doivent penser à l'avenir et prévoir les ressources nécessaires pour assurer le fonctionnement à long terme des fonctionnalités.

Il est alors temps de passer à la mise en place de la sécurité proprement dite. Pour ce faire, vous devez

En janvier 2023, des intrus ont obtenu un accès non autorisé à certains dépôts de code de GitHub et ont volé des certificats de signature de code pour les applications GitHub Desktop et Atom. Si les certificats volés étaient décryptés, les attaquants pourraient créer des versions altérées de l'application et les faire passer pour des mises à jour officielles de GitHub.

Heureusement, les certificats de signature de code de GitHub étaient protégés par un mot de passe, de sorte qu'aucun dommage n'a été causé. GitHub a simplement révoqué les certificats volés et publié de nouvelles versions des applications dotées de nouveaux certificats. 

Nvidia a subi une attaque similaire en 2022où le groupe de pirates Lapsus$ a divulgué les certificats de signature de code de Nvidia afin que d'autres acteurs malveillants puissent les utiliser pour signer des logiciels malveillants.

L'agilité de GitHub en matière de agilité cryptographique s'est avérée essentielle pour éviter un tel désastre. De nos jours, les cyberattaques ne sont pas une question de "si" mais de "quand". Les organisations doivent élaborer des plans pour contenir les menaces autant que pour les prévenir, de sorte que lorsqu'une attaque se produit, elles puissent détecter le problème et y remédier sans affecter les utilisateurs.

En mai, les certificats des SD-WAN Viptela et Meraki de Cisco hardware ont expiré.affectant ainsi plus de 20 000 clients. Les certificats expirés ont perturbé les services d'informatique en nuage, de stockage de données, les outils de commerce électronique et d'autres services.

Les certificats et hardware ont été hérités par Cisco lorsque la société a acheté Viptela en 2017. Les certificats avaient une durée de vie de 10 ans depuis quatre ans, mais il semble que Cisco n'ait pas anticipé leur expiration. 

Il semble que Cisco ait tardé à résoudre le problème, ce qui, selon un Redditor, est "la chose la plus Cisco de tous les temps".

Même en 2024, il n'existe aucun moyen d'intégrer de manière transparente un système à un système acquis dans un contexte post-fusion. Il y a tellement de variables, de configurations et d'autorisations à prendre en compte - le statut des cycles de vie des certificats étant l'un d'entre eux.

Il est déjà difficile de trouver un certificat non comptabilisé dans son propre environnement. Le trouver dans un environnement inconnu et acquis est encore plus difficile. Cet incident illustre les risques liés aux fusions et acquisitions, ainsi que les avantages d'une solution automatisée et centralisée de gestion des certificats. solution automatisée et centralisée de gestion des certificats.

C'est peut-être à la fois une consolation et une mise en garde que les pannes de certificat surviennent dans certaines des entreprises les plus innovantes du monde. Il est presque certain que nous pouvons nous attendre à voir d'autres pannes en 2024.

Les pannes liées aux certificats sont le résultat d'un manque de visibilité et de contrôle sur le paysage des certificats d'une organisation. Lorsque les organisations automatisent la découverte des certificats et les suivent via un hub unifié, les pannes de certificats cessent tout simplement d'être une menace. 

Vous voulez savoir comment votre organisation peut mettre un terme aux pannes perturbatrices cette année ? Prenez contact avec nous - notre équipe est prête à vous aider.