Pourquoi les procédures PKI sont-elles si importantes pour votre entreprise ?
La plupart des personnes qui connaissent l'infrastructure à clé publique ont eu connaissance des événements malheureux qui ont touché l'autorité de certification publique néerlandaise DigiNotar. En tant que Néerlandais et spécialiste de PKI , je me suis particulièrement intéressé à cet événement. Au moment des faits, en septembre 2011, je me trouvais aux Pays-Bas et j'ai eu la chance de voir et de lire les choses de première main.
DigiNotar a été la première autorité de certification publique à faire faillite à la suite d'un piratage. Ce fait est extrêmement important pour le monde PKI , car il démontre à quel point la sécurité de PKI et le respect des procédures sont essentiels pour maintenir une entreprise en activité. De plus, la faillite de DigiNotar aurait pu être évitée si l'entreprise avait simplement fait ce que je considère comme l'un des aspects les plus importants de la sécurité informatique : Suivre parfaitement les procédures, à chaque fois.
Voici une brève chronologie des événements publiés dans le rapport intermédiaire ("Operation Black Tulip") de Fox-IT:
|
Première exploration possible par le(s) attaquant(s) |
|
Serveurs de la zone démilitarisée contrôlés par le(s) attaquant(s) |
|
Incident détecté par DigiNotar dans le cadre de la procédure d'audit quotidienne |
|
Première tentative de création d'un faux certificat |
|
Le premier certificat frauduleux réussi (*.Google.com) |
|
Dernière date connue de création du certificat frauduleux |
|
Dernier trafic sortant vers l'IP de l'attaquant (non confirmé) |
|
Ouverture d'une enquête par une société de sécurité informatique (non confirmée) |
|
Remise du rapport de sécurité d'une société de sécurité informatique |
|
Première demande OCSP frauduleuse *.google.com |
|
On a vu pour la première fois que des certificats frauduleux avaient été vérifiés en Iran. |
|
Démarrage de l'activité massive de *.google.com sur le répondeur OCSP |
|
Première mention du certificat *.google.com dans un blog |
|
GOVCERT.NL est notifié par CERT-BUND (Allemagne) |
|
Le certificat *.google.com est révoqué |
|
Démarrage de l'enquête par Fox-IT |
|
Capteur de réponse aux incidents actif |
|
OCSP basé sur la liste blanche. DigiNotar dépose le bilan |
Le passé et le présent des opérations publiques de l'AC.
Lorsque les autorités de certification publiques ont été introduites pour la première fois, leur fonctionnement quotidien était très différent de ce qu'il est aujourd'hui. Par exemple, il fallait plusieurs jours pour obtenir un certificat SSL , alors qu'aujourd'hui cela ne prend que quelques minutes. Les exigences de la société moderne en matière de rapidité et d'efficacité ont contraint les entreprises informatiques à trouver des moyens plus rapides et plus efficaces de répondre aux besoins de leurs clients. Bien que la croissance soit excitante pour tout propriétaire d'entreprise, le besoin de rapidité le pousse parfois à ignorer les avertissements et les procédures afin d'accomplir un travail plus rapidement. Au fur et à mesure que la réputation de l'entreprise grandit et que la concurrence s'intensifie, il devient de plus en plus difficile de maintenir une apparence extérieure solide pour la communauté, car les imperfections peuvent potentiellement entraîner une perte de chiffre d'affaires et d'argent pour l'entreprise. Ainsi, comme dans le cas de DigiNotar, de nombreux chefs d'entreprise paniquent lorsqu'un piratage informatique frappe de plein fouet leur entreprise. La tentation de "rogner sur les coûts" monte en flèche, surtout lorsqu'il s'agit de suivre les procédures. Admettre qu'un problème s'est produit, comme un piratage, pourrait entraîner la perte d'un client précieux et de beaucoup d'argent, et ce n'est pas un risque que de nombreux propriétaires veulent prendre. Mais dans le monde de la sécurité, le risque est rarement synonyme de récompense, et le respect des procédures appropriées, aussi laborieuses soient-elles, peut faire toute la différence entre le maintien de votre entreprise sur le long terme ou sa mise en faillite.
Procédures, procédures, procédures.
Lorsque je parle à mes clients de PKI, je passe la plupart du temps à discuter des procédures appropriées plutôt qu'à me concentrer sur les aspects techniques. Souvent, ils sont surpris et peuvent même réagir de manière dédaigneuse. Même si le client ne veut parler que de la sécurité PKI en ce qui concerne ses réseaux, je l'encourage à prendre le temps d'examiner l'aspect physique de la sécurité informatique, qui est également très important. Cela inclut même l'aspect des relations publiques, comme la manière de gérer et d'annoncer des événements malheureux tels qu'un arrêt du réseau ou une faille de sécurité.
Les sujets que j'aborde sont les suivants :
- Accès à la salle PKI
- Création d'une politique de certification (PC) et d'une déclaration des pratiques de certification (DPC), (Questions juridiques)
- Processus de validation de l'utilisateur final (personne, appareil)
- Constituez votre équipe PKI (PKI rôles)
- Que faire en cas d'attaque ou de piratage informatique (Relations publiques)
Ces procédures s'appliquent non seulement aux AC privées internes, mais aussi aux AC publiques.
Nous avons tous entendu parler de la "loi de Murphy", qui signifie que "tout ce qui peut aller mal ira mal". Il s'agit d'un excellent rappel pour toute personne utilisant le site PKI, car vous devez toujours envisager le pire scénario lorsque vous êtes tenté d'ignorer ou de contourner des procédures, même si elles semblent ridicules. La fois où vous courrez aux toilettes et décidez d'ouvrir la porte de la salle PKI au lieu de la fermer à clé, ce sera la fois où quelqu'un entrera dans la salle et piratera votre système.
Nous avons été piratés. Que faire maintenant ?
La réponse est la suivante : Suivez les procédures ! Des entreprises comme VeriSign, Entrust, Comodo ou CyberTrust, pour n'en citer que quelques-unes, ont mis en place des procédures pour protéger leur site PKI. Comodo a été piraté par le(s) même(s) pirate(s) que DigiNotar. Pourquoi DigiNotar a-t-elle fait faillite après avoir été piratée, alors que les autres entreprises n'ont pas fait faillite ?
La réponse est très simple. La société n'a pas suivi les procédures PKI et n'a pas respecté les exigences en matière de sécurité. Dès que DigiNotar a découvert que quelqu'un avait piraté ses systèmes, elle aurait dû annoncer publiquement le piratage, mais elle ne l'a pas fait. Au lieu de cela, elle a gardé le silence et tenté de dissimuler l'affaire, ce qui n'a fait qu'aggraver la situation.
Lorsque vous soupçonnez une attaque ou un piratage sur votre site PKI, la première chose à faire est de faire une annonce publique (ou interne, si vous avez un site privé PKI). Bien que le fait d'admettre une attaque puisse porter un coup à votre réputation ou à votre ego, c'est peut-être la seule chose qui sauvera votre entreprise en fin de compte. Non seulement les gens sont en mesure d'être vigilants et de se prémunir contre d'autres attaques, mais ils sont également sensibilisés et plus enclins à signaler des activités suspectes qui pourraient aider l'entreprise à trouver et à arrêter l'attaquant.
En plus de ne pas avoir fait d'annonce, Diginotar a également commis l'erreur de permettre une utilisation abusive et un accès non autorisé à la clé privée, ce qui a compromis la sécurité. Si vous vous rendez compte que votre système a été compromis, il existe des procédures que vous devez suivre immédiatement, avant que des dommages plus importants ne soient causés.
La sécurité est une question de bon sens.
Le sort malheureux de Diginotar nous rappelle à quel point il est important pour la réussite d'une entreprise de disposer d'un site PKI et de l'utiliser correctement. En mettant en place des mesures appropriées et en suivant les procédures à la lettre, une entreprise peut éviter des événements tragiques susceptibles de la conduire à la perte et, en fin de compte, à la faillite. N'ayez jamais peur de poser des questions ou d'enrichir votre entreprise avec des politiques et des procédures. Si vous avez besoin de l'aide de PKI , les consultants du CSS, tels que moi-même, sont toujours heureux de vous aider à sécuriser votre entreprise, ainsi que votre confiance.