Aujourd'hui, Keyfactor a publié une nouvelle étude avec des données exclusives de ses capacités d'intelligence du risque de Command , qui seront bientôt lancées dans Keyfactor Command. L'étude, intitulée "Breaking Digital Trust : Keyfactor découvre des risques dans 18% des certificats utilisés en ligne" révèle une série de risques communs choquants dans les certificats en ligne.
Le résultat le plus surprenant ? Il existe des risques dans 18% de TOUS certificats utilisés en ligne.
Pourquoi c'est important
Prenons un peu de recul.
Il existe aujourd'hui des milliards d'appareils dans le monde et, comme les humains, ils ont besoin d'être identifiés. Toutefois, à la différence des humains, les identifiants des appareils se présentent sous la forme de clés cryptographiques et de certificats numériques qui doivent être correctement gérés et sécurisés. Ce n'est pas une mince affaire. Une seule organisation peut avoir des centaines de milliers de certificats numériques dans son infrastructure.
Les certificats sont la base de la confiance numérique et la gestion de l'identité des machinesLa gestion de l'identité des machines est un élément essentiel de la sécurité, car elle garantit la confiance entre les réseaux, les applications et les environnements en nuage. Les dernières recherches de Keyfactorayant révélé les risques liés à de nombreux certificats numériques en ligne, la gestion et la sécurisation des identités des machines, qui relèvent généralement de la responsabilité des RSSI et des équipes de sécurité, sont devenues beaucoup plus difficiles.
Les risques découverts peuvent entraîner des lacunes en matière de sécurité, des défauts de conformité et une exposition accrue aux cybermenaces.
Le Keyfactor risques dévoilé
L'équipe de recherche de Keyfactor a analysé 500 000 certificats en ligne pour découvrir les défauts courants des certificats qui pourraient avoir un impact sur les organisations et leurs équipes de sécurité correspondantes. Les défauts de certificat découverts peuvent être classés en quatre types de risques : les problèmes cryptographiques compromettant une clé individuelle ; les échecs de validation de chaîne empêchant l'utilisation d'un certificat pour l'objectif prévu ; les violations de politique indiquant une autorité de certification (AC) mal configurée ; et les erreurs de hiérarchie de confiance compromettant l'ensemble de l'PKI.
Parmi les différents types de risques liés aux certificats, l'équipe de recherche de Keyfactor a découvert plusieurs défauts :
-
- Certificats portant un numéro de série négatif : Un certificat sur 27 n'avait pas de numéro de série positif.
- Certificats à longue durée de vie : Un certificat sur 13 a une durée de vie supérieure à deux ans.
- Certificats avec des fichiers de grande taille : Par défaut, OpenSSL alloue seulement 100kB pour l'ensemble d'une chaîne de certificats, et les chaînes plus importantes ne peuvent pas être validées sur les systèmes fonctionnant avec cette valeur par défaut.
- Pas d'utilisation de clé: Un certificat sur 29 n'avait pas d'utilisation de clé spécifiée. Les certificats qui n'incluent pas explicitement un champ d'utilisation de clé sont interprétés comme utilisables pour tous pour tous les usages possibles.
- Certificat CA sans contraintes de base: Un certificat sur 32 n'a pas été émis par une AC avec des contraintes de base.
Les chiffres : Pourquoi il s'agit d'une affaire importante
Bien que des chiffres tels que "un certificat sur 29" ne sonnent pas immédiatement l'alarme à première vue, l'échantillon de l'étude de Keyfactorpeut être généralisé sur 8 milliards de certificats connus en ligne.
Cela signifie que millions de certificats présentent des vulnérabilités critiques qui peuvent entraîner des failles de sécurité, des défauts de conformité et une exposition accrue aux cybermenaces. Si certains de ces risques peuvent sembler mineurs, les conséquences potentielles ne le sont pas.
Comment les RSSI et les équipes de sécurité peuvent-ils faire face à ces risques ?
Ces résultats soulignent la nécessité pour les RSSI et les équipes de sécurité de découvrir en permanence des certificats, d'automatiser la gestion du cycle de vie et d'appliquer des politiques strictes.
Sans une visibilité et un contrôle proactifs, les organisations risquent de laisser des certificats faibles saper leur posture de sécurité générale. S'attaquer à ces vulnérabilités des certificats n'est pas seulement une question de conformité - il s'agit de maintenir la confiance dans l'écosystème numérique et de prévenir les brèches avant qu'elles ne se produisent.
Les clients de Keyfactor Command PKIaaS et CLAaaS sont déjà très bien lotis en matière de gestion et de sécurisation des certificats. Mais avec le lancement imminent de Command Risk Intelligence, ils bénéficieront d'une visibilité inégalée sur les risques spécifiques liés aux certificats, avant qu'ils ne deviennent un problème, ce qui permettra aux RSSI et aux équipes de sécurité d'adopter une approche proactive de la gestion des certificats. L'excitation ne s'arrête pas là - chaque risque est noté, ce qui permet aux RSSI et aux équipes de sécurité de hiérarchiser les risques les plus préoccupants pour leur organisation, les aidant ainsi à gérer leur temps de manière efficace.
Keyfactor Command Risk Intelligence est la première solution au monde de gestion des risques liés aux certificats, créant une nouvelle approche de la gestion des certificats basée sur leur risque. Nous vous invitons àlire le rapport de recherche complet ici et, bien sûr, à vous plonger dans la manière dont Keyfactor a spécifiquement découvert les données en lisant notre nouveau blog sur les produits.
