Note de vulnérabilité VU#971035- Le protocole SCEP (Simple Certificate Enrollment Protocol) n'authentifie pas fortement les demandes de certificats.
CLEVELAND, OH - 28 juin 2012. Les chercheurs de Certified Security Solutions, Inc. (CSS), une société leader dans le domaine de la sécurité de l'information, ont découvert un problème de sécurité potentiellement grave lié à l'utilisation du protocole Simple Certificate Enrollment Protocol (SCEP) en conjonction avec des appareils mobiles. Les organisations qui utilisent SCEP pour délivrer des certificats numériques à des appareils mobiles peuvent faire l'objet d'une attaque par élévation de privilèges.
Le problème n'est pas dû à une erreur de mise en œuvre dans un seul produit, ni à un problème avec le protocole SCEP lui-même, mais plutôt à une combinaison de fonctionnalités, de configurations et de cas d'utilisation qui, ensemble, ouvrent une voie d'attaque jusqu'alors imprévue. Les systèmes de gestion des appareils mobiles (MDM) qui s'appuient sur le protocole SCEP pour délivrer des certificats d'authentification aux systèmes d'entreprise tels que Wi-Fi, VPN ou ActiveSync figurent parmi les scénarios les plus gravement touchés.
Certified Security Solutions travaille depuis plusieurs semaines avec l'US-CERT et le CERT/CC de Carnegie Mellon pour faciliter les notifications et la divulgation d'informations par les canaux appropriés. Le rapport officiel de l'US-CERT sur la vulnérabilité est disponible sur le lien suivant : https://www.kb.cert.org/vuls/id/971035
"Nous encourageons vivement toutes les organisations qui utilisent SCEP ou un système de gestion des appareils mobiles avec une infrastructure de clés publiques d'entreprise à examiner de plus près si elles sont concernées et exposées à un risque", a déclaré Ted Shorter, directeur de la technologie de CSS. "Nous avons mis en place une zone sur notre site web qui explique en détail la vulnérabilité et les étapes à suivre pour que les entreprises se protègent.
Visitez ce portail d'information en ligne à l'adresse suivante : www.css-security.com/scep.
À propos de CSS
CSS est une société de services de sécurité de l'information présente dans toute l'Amérique du Nord et dont le siège se trouve à Cleveland, dans l'Ohio. Nous sommes spécialisés dans trois domaines essentiels de la sécurité de l'information : la gestion des identités et des accès, l'infrastructure sécurisée et la gouvernance, ainsi que le risque et la conformité. CSS propose des services de conseil, des services de sécurité gérés, la sécurité en tant que service et des outils de sécurité software afin de répondre aux besoins de ses clients. Pour plus d'informations et pour obtenir la liste complète des succursales, visitez le site www.css-security.com ou envoyez un courriel à software@css-security .com.
