CLEVELAND, OH - 16 août 2012. Certified Security Solutions (CSS) rend son SCEP Validation Service™ - une solution qui empêche l'attaque décrite dans le rapport de vulnérabilité VU#970135 de l'US-CERT - disponible pour intégration et licence OEM par les tiers intéressés. Jusqu'à présent, ce service software n'était disponible que dans le cadre du produit Mobile Certificate Management System (mCMS) de CSS.
Bien que le protocole SCEP (Simple Certificate Enrollment Protocol) soit utilisé depuis plusieurs années, de nombreux systèmes de gestion des appareils mobiles (MDM) fournissent désormais des mots de passe à usage unique SCEP directement aux appareils qu'ils gèrent, ce qui les expose à une utilisation abusive par des attaquants et peut conduire à des certificats au contenu frauduleux, ainsi qu'à des attaques potentielles d'escalade des privilèges. Visitez ce portail d'information en ligne pour en savoir plus sur la vulnérabilité : www.css-security.com/scep.
La solution en instance de brevet de CSS à la vulnérabilité SCEP comprend un module de politique enfichable sur le site Microsoft CA qui bloque toute manipulation des données de demande de certificat basées sur SCEP et permet aux clients de conserver les avantages de la génération de clés privées sur l'appareil, tout en empêchant les problèmes de sécurité associés à l'envoi de mots de passe SCEP en dehors du réseau de confiance d'une organisation.
"Nous avons réalisé que le besoin de Validated SCEP™ transcende l'espace d'émission et de gestion des certificats sur lequel nos produits se concentrent, dans des domaines tels que le MDM", déclare Kevin von Keyserling, directeur général de CSS. "Cela ne sert à rien à nos clients de combler une vulnérabilité avec notre produit mCMS, pour ensuite la rouvrir lorsqu'ils installent un autre élément de software. Nous espérons que d'autres pourront utiliser cette technologie afin que notre base collective de clients puisse être plus sûre."
Visitez le centre de ressources SCEP validé pour plus d'informations : https://www.css-security.com/vscep/
Apropos des CSS
CSS est une société de services de sécurité de l'information présente dans toute l'Amérique du Nord et dont le siège se trouve à Cleveland, dans l'Ohio. Nous sommes spécialisés dans trois domaines essentiels de la sécurité de l'information : la gestion des identités et des accès, l'infrastructure sécurisée et la gouvernance, ainsi que le risque et la conformité. CSS propose des services de conseil, des services de sécurité gérés, la sécurité en tant que service et des outils de sécurité software afin de répondre aux besoins de ses clients. Pour plus d'informations et pour obtenir la liste complète des succursales, visitez le site www.css-security.com ou envoyez un courriel à software@css-security .com.
