L'authentification de l'identité numérique et le cryptage des données se développent de manière exponentielle avec notre dépendance croissante à l'égard de l'Internet des objets (IoT). Les entreprises se tournent vers la technologie pour minimiser les risques, protéger les actifs et réduire les dépenses opérationnelles en protégeant l'accès aux informations et aux systèmes. Dans le passé, les noms d'utilisateur et les mots de passe étaient la norme, mais à mesure que nous en apprenons davantage sur la sécurité dans un monde hyperconnecté, d'autres méthodes reposant sur la cryptographie à clé publique sont devenues très populaires. Comme s'il n'était pas assez compliqué d'identifier et de mettre en œuvre la bonne combinaison de technologies de sécurité pour un cas d'utilisation spécifique, CryptoPeak Solutions LLC vient jeter un pavé dans la mare.
Permettez-moi de planter le décor : Certified Security Solutions (CSS) vit et respire l'identité numérique, le cryptage et les technologies de signature. Personnellement, je passe pratiquement toutes mes heures de veille à rechercher des certificats numériques utilisés dans SSL/TLS pour comprendre comment l'identité est représentée (et parfois mal représentée) dans la nature. Cette semaine, j'ai été déçu de lire partout sur l'internet une volée de procès qui pourraient bien ébranler la confiance placée dans les certificats numériques.
Le trollage des brevets de l'ECC
CryptoPeak Solutions LLC poursuit plus de 70 grandes entreprises pour violation présumée du brevet américain 6202150B1, qui couvre largement les questions de gestion des clés dans les systèmes cryptographiques. L'affirmation de CryptoPeak semble être que tout site web délivrant du contenu HTTPS qui utilise des certificats numériques avec des clés de cryptographie à courbe elliptique (ECC) est en infraction avec son brevet. Ce comportement a été qualifié de "patent trolling" par un grand nombre d'experts techniques et juridiques, et je suis généralement d'accord avec cette évaluation. Cependant, ce qui me préoccupe bien plus que la question juridique, c'est la compréhension des effets d'entraînement potentiels que ces procès pourraient avoir sur l'écosystème SSL/TLS - et le monde plus large de la sécurité IoT - qui pourraient résulter de ces procédures judiciaires.
Notre équipe de recherche CSS a mené une enquête sur la surveillance des certificats en scannant l'ensemble de l'Internet dans le but de savoir comment les certificats numériques sont utilisés. Les données recueillies nous ont permis d'identifier environ 2 700 sites sur Internet qui utilisent des clés ECC dans les certificats SSL/TLS pour HTTPS. Bien que le nombre de sites utilisant ECC soit en augmentation, beaucoup d'entre eux n'appartiennent actuellement qu'à une poignée d'entreprises. Par exemple, Facebook en tant qu'entreprise représente plus de 60 de ces presque 2 700 sites.
L'impact plus important du patent trolling des CEC
Même si le nombre d'utilisateurs de clés ECC reste relativement faible par rapport aux clés RSA plus largement distribuées pour SSL/TLS, les poursuites judiciaires de CryptoPeak sont inquiétantes en raison de l'impact négatif potentiel sur l'adoption et le renouvellement futurs des certificats numériques avec des clés ECC. La sécurité sur l'internet repose sur la confiance, et la confiance est gagnée par les organisations qui adoptent une position de sécurité forte et choisissent des clés cryptographiques fortes pour les certificats SSL/TLS de leurs serveurs web. Le "patent trolling" dans ce domaine est particulièrement pénible car il affaiblit la confiance placée dans les certificats numériques, ce qui compromet la sécurité des communications car les organisations reconsidèrent leur utilisation des clés ECC en faveur de systèmes cryptographiques plus faibles afin d'éviter la possibilité d'être citées dans des procès en contrefaçon.
En outre, une grande partie de la sécurité de l'Internet des objets naissant repose sur les clés ECC pour sécuriser les communications et établir l'identité. Un bon exemple est le développement des systèmes de véhicule à véhicule (V2V) et de véhicule à infrastructure (V2I) imposés par le ministère américain des transports, où les clés ECC sont privilégiées pour de multiples raisons, notamment la taille réduite du fichier de certificat, les besoins en énergie moindres et une puissance cryptographique similaire à celle des clés RSA pour une taille de clé plus petite. Bien que les poursuites engagées par CryptoPeak semblent actuellement limitées aux applications HTTPS, une interprétation aussi large du texte du brevet pourrait inciter les organisations à renoncer à l'ECC et à ses avantages dans les applications IoT afin d'éviter tout litige. Cette décision pourrait avoir un effet préjudiciable sur le développement de dispositifs et de réseaux sécurisés IoT , tels que les systèmes V2V et V2I susmentionnés.
Certificat Internet mondial recherche
Consultez le site web du CSS pour obtenir des données sur le paysage Internet actuel de SSL/TLS, ainsi que la possibilité de demander un rapport personnalisé sur les certificats numériques de votre entreprise que nous avons observés en surveillant l'utilisation de SSL/TLS sur l'Internet : https://www.css-security.com/research/.
Pour plus d'informations sur l'enquête de suivi des certificats et les efforts de CSS Research, veuillez nous contacter à l'adresse suivante : [email protected].
