Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

Le cryptage comme protection

Les violations de données font désormais partie de notre actualité quotidienne. Il suffit de mentionner Anthem, Sony, Staples, UPS, Kmart, Target, Neiman Marcus, eBay, Home Depot, Apple iCloud, J.P. Morgan Chase pour que la plupart d'entre nous sachent que ces noms d'entreprises sont également associés à des cyberattaques largement publiées.

cryptage_1_1

Récemment, on a appris l'existence de Superfish, un logiciel publicitaire de type "man in the middle" ( SSL ) capable de produire des certificats auto-signés.

La plupart d'entre nous savent comment vérifier si un billet d'un dollar est vrai ou faux, mais savons-nous comment vérifier si un site web et son certificat sont faux ?

La capacité à reconnaître une connexion web sécurisée est extrêmement importante car les cas de fraude en ligne ont considérablement augmenté d'année en année.

L'une des choses fondamentales que tout utilisateur peut faire est de vérifier l'icône du cadenas dans la barre d'état du navigateur et de comprendre le certificat présenté. Lorsque l'on examine les certificats des sites web auxquels nous faisons le plus confiance et que nous utilisons le plus souvent, tels que Google, Yahoo, PayPal, etc., on constate que la chaîne de confiance est composée d'au moins deux ou trois autorités. Il est important de vérifier par qui le certificat a été émis.

Les certificats sont délivrés par une autorité et la question qui se pose est de savoir si l'on peut faire confiance à l'autorité qui a délivré le certificat.

L'une des principales fonctions de la racine, l'autorité supérieure, est de délivrer des certificats en chaîne aux autorités de certification subordonnées, ce qui établit le premier maillon de la chaîne de confiance. Il existe ensuite un lien de confiance entre le certificat de l'entité finale et l'autorité de certification subordonnée. Dans le cas d'un certificat SSL , le certificat d'entité finale représente le lien entre le propriétaire d'un site web et le nom de domaine du site web. Le certificat SSL est installé sur le serveur web avec le certificat de chaîne. Lorsqu'un utilisateur navigue sur le site web protégé par le certificat SSL , le navigateur lance la vérification du certificat et suit la chaîne de confiance jusqu'à la racine intégrée.

Il n'est pas techniquement difficile de créer un certificat SSL , mais la difficulté réside dans le fait qu'il doit être signé par un organisme autorisé qui fait partie de l'ensemble des certificats racine de confiance.

Ceux-ci appartiennent aux différentes autorités de certification et sont protégés par une authentification cryptographique forte. Le problème n'est donc pas de fabriquer le certificat, mais de faire en sorte que quelqu'un lui fasse confiance. C'est pourquoi l'autorité de certification racine est la partie la plus importante et la plus vulnérable du déploiement d'une infrastructure à clé publique (PKI). Il n'est pas surprenant que les AC soient devenues la cible d'attaques ciblées.

Étant donné qu'un faux certificat n'est pas signé par des autorités de certification de confiance, aucun ne sera considéré comme valide par les principaux navigateurs web software; toutefois, une part croissante du trafic bancaire en ligne provient désormais d'applications et d'autres éléments non liés aux navigateurs software qui peuvent ne pas vérifier correctement la validité des certificats SSL . Il est donc nécessaire de protéger tout appareil accédant au trafic réseau et le déploiement professionnel de PKI est la réponse à ce besoin.

La cybercriminalité est essentiellement un moyen pour les pirates informatiques de montrer leurs capacités, en déchiffrant le code alors même que la technologie progresse et semble se renforcer. C'est pourquoi le cryptage des données est la principale méthode de protection choisie, comme l'a adopté le secteur financier américain cette année. La sécurité numérique est devenue un tel enjeu que les États-Unis adoptent des cartes à puce et des terminaux de point de vente conformes à la norme Europay, MasterCard, Visa.

À partir d'octobre 2015, un émetteur de cartes ou un commerçant qui ne prend pas en charge la norme EMV assumera la responsabilité des fraudes résultant de transactions par carte à bande magnétique compromises. Apparemment, un changement majeur de mentalité s'est déjà opéré, à savoir que l'avenir est au cryptage. Pourquoi la puce est-elle plus sûre que la bande magnétique ?

Par exemple, si vous payez votre repas au restaurant et que vous utilisez votre carte à bande magnétique, vous remettez généralement votre carte au serveur après qu'il a apporté l'addition. Il traite ensuite votre transaction à la caisse enregistreuse, ce qui signifie que vous perdez votre carte de vue pendant plusieurs minutes, ce qui laisse amplement le temps de cloner votre carte si l'un des membres du personnel du restaurant est un escroc. Avec une carte à puce, un appareil POS portable est nécessaire, ou bien le client se rend à la caisse enregistreuse, la carte étant toujours en vue.

Deuxièmement, les cartes à puce sont la norme dans la plupart des régions du monde parce qu'elles sont non seulement plus difficiles à cloner, car les données des cartes à puce changent constamment, ce qui les rend extrêmement difficiles à isoler, à extraire et à contrefaire que leurs prédécesseurs à bande magnétique, mais aussi parce que les cartes à puce sont différentes, principalement parce qu'elles intègrent un cryptage sophistiqué dans la puce. Lorsque vous utilisez une carte à puce au lieu de la glisser dans un lecteur, elle communique avec le terminal de paiement dans un langage secret pour s'assurer que c'est bien vous qui payez.

Apparemment, le cryptage fonctionne. Des systèmes cryptographiques puissants correctement mis en œuvre sont l'une des rares choses sur lesquelles vous pouvez compter, en particulier pour les transactions de paiement et pour la protection du reste de vos données stockées et envoyées.

Quel type de cryptage choisir ? Pour tout type de cryptage, la méthode d'attaque la plus élémentaire est la force brute, qui consiste à essayer chaque clé jusqu'à ce que l'on trouve la bonne. La longueur de la clé détermine le nombre de clés possibles, et donc la faisabilité de ce type d'attaque. La puissance de chiffrement est directement liée à la taille de la clé. Tout algorithme réaliste est considéré comme "suffisamment puissant" s'il faut plus de temps pour décrypter le matériel que l'information n'en vaut la peine avec les ressources disponibles à ce moment-là. Par exemple, si les informations concernent mes projets de dîner pour demain, il est probable que mon algorithme de cryptage ne devra retarder un attaquant que de 24 heures, le temps que l'événement soit terminé.

Étant donné que nous devons tenir compte de l'accessibilité des capacités informatiques qui évoluent avec le temps et qui peuvent réduire l'effort nécessaire pour attaquer avec succès la méthode algorithmique, la règle empirique la plus sûre pour la plupart des entreprises est que vous souhaitez que le cryptage que vous utilisez reste efficace dans 20 ans.

Qu'il s'agisse de se conformer aux diverses lois fédérales et nationales des États-Unis, par exemple en matière de confidentialité des données, ou d'éviter de lourdes pertes financières, il est primordial de reconnaître la nécessité d'une protection par cryptage appropriée. Microsoft offre aux utilisateurs un cryptage de disque intégré sur certaines éditions de Windows et il existe de nombreux autres produits de qualité pour répondre à vos besoins en matière de cryptage.

Si une entreprise se soucie de l'intégrité de ses données et de ses systèmes, elle doit soit déployer un site PKI doté d'un ensemble approprié de contrôles et d'équilibres, soit utiliser un service tiers auquel elle peut faire confiance. Dans le cas contraire, l'entreprise est exposée et de plus en plus vulnérable.

L'autorité de certification racine est au sommet de la hiérarchie des certificats. Comme elle contient les clés qui seront utilisées pour l'ensemble de l'infrastructure de certificats, ces clés doivent être protégées. Si un pirate accède à ces clés, l'ensemble de l'infrastructure de certification sera compromise.

Il est donc primordial que l'autorité de certification racine soit installée sur un serveur autonome sans carte réseau ou avec une carte réseau désactivée. Les certificats de l'autorité de certification racine doivent être transportés à l'aide d'un support d'enlèvement. L'autorité de certification racine n'étant pas connectée au réseau, cela permet de protéger les certificats de l'autorité de certification racine contre les attaques.

En outre, pour une sécurité maximale, les clés de l'AC racine peuvent être protégées par un module de sécurité Hardware (HSM) et stockées dans un coffre-fort après que la cérémonie de la clé racine a été réalisée et signée par toutes les parties concernées.

Au cours des engagements PKI avec CSS, nous choisissons le cryptage approprié pour votre type d'entreprise. Par exemple, SHA est un algorithme de hachage populaire utilisé par la majorité des certificats SSL . La puissance de calcul ayant augmenté la possibilité de casser le hachage SHA1, CSS utilise et recommande d'utiliser uniquement SHA 256 à partir de maintenant. Nous choisissons les modules de sécurité hardware qui sont conformes aux normes fédérales de traitement de l'information (FIPS 140 Level 2 et Level 3).

Notre solution de déploiement PKI est proposée aux entreprises sous la forme d'un service qui leur permet de ne pas se soucier du cryptage et de la sécurisation de leurs données. Dans ce service, nous incluons notre produit unique appelé Certificate Management System (CMS) qui est le produit leader pour l'émission et la gestion des certificats à travers les appareils et les services. CMS utilise un service Validated SCEP™ (VSCEP) qui a reçu un brevet pour l'émission de certificats PKI hautement sécurisés et utilise un cryptage au niveau de la colonne dans la base de données MS SQL qui joue un rôle essentiel dans la sécurisation de vos données.