La demande de confiance dans la société numérique ultra-connectée d'aujourd'hui est sans précédent. Les consommateurs de software ont besoin d'une preuve garantie que l'application qu'ils utilisent est légitime. La signature de code sécurisée valide l'auteur du site software et prouve que le code n'a pas été modifié ou altéré après sa signature. Des certificats de signature de code fiables sont utilisés pour vérifier l'authenticité, mais qu'est-ce qui préserve l'intégrité de ces certificats ?
Les certificats de signature de code peuvent être vendus ou utilisés pour créer des logiciels malveillants signés. Les développeurs doivent faire preuve d'une extrême prudence dans la protection des clés privées liées aux certificats de signature de code afin d'éviter toute complication. Un processus de signature de code rationalisé et sécurisé protège votre entreprise et apporte une confiance inhérente à vos clients software .
Pourquoi la sécurisation des certificats de signature de code est-elle importante ?
Pour l'entreprise
- Protection contre les violations. Les certificats de signature sont des atouts précieux pour les pirates. Le fait de posséder les certificats de signature d'une organisation permet à un pirate de créer des versions fiables de logiciels malveillants qui semblent avoir été créés par l'organisation de développement authentique.
- Exigences en matière de système d'exploitation. Les équipes de développement sont souvent tenues de signer software pour soutenir l'installation. Les systèmes d'exploitation tels que Windows avertissent les utilisateurs si software ou les pilotes ne sont pas signés.
- Des équipes de développement dispersées dans le monde entier. Les équipes de développement d'aujourd'hui sont largement composées de membres situés dans des bureaux dispersés dans le monde entier. Lorsqu'une équipe distante doit signer le code développé software, la solution la plus simple consiste à acheter un certificat de signature de confiance. Une fois la solution mise en œuvre, l'équipe de développement régionale peut laisser le certificat de signature de code sur un PC ou un ordinateur portable dispersé, ce qui introduit un risque. En plaçant le certificat dans un tel endroit, il est à la portée d'un pirate informatique ou peut être oublié. Dans les deux cas, il y a un risque de violation ou de panne.
Pourquoi la sécurisation des certificats de signature de code est-elle importante ?
Pour l'internet des objets (IoT)
- Insécurité du bus CAN. De nombreuses machines de grande taille, telles que les véhicules légers, ont des bus de communication sous-jacents qui sont intrinsèquement peu sûrs. Les véhicules utilisent principalement une technologie de bus appelée CAN-bus. Ce bus de communication a été développé à une époque où il n'existait aucune notion de sécurisation de ces réseaux de communication - c'est pourquoi le bus n'est toujours pas sécurisé aujourd'hui. L'industrie automobile reconnaît que le changement de bus en faveur d'une technologie de réseau de communication plus sûre, telle que les communications de base TCP/IP, aurait dû intervenir depuis longtemps. Toutefois, le coût de ce changement de technologie pour l'industrie se chiffrera en milliers de milliards de dollars.
- Les microprogrammes signés par le code pour sécuriser les unités de contrôle électronique. Les microprogrammes signés et le site software empêchent le chargement de codes malveillants dans les unités de contrôle électronique (ECU) des véhicules, à moins que le code ne fasse l'objet d'une confiance cryptographique et d'une chaîne de confiance vérifiable. Étant donné que la communication sous-jacente ne peut pas être sécurisée, l'industrie automobile s'est tournée vers l'utilisation de microprogrammes sécurisés signés cryptographiquement et software (signé par le code) à déployer sur les ECU des véhicules. Le désormais célèbre piratage de la Jeep en 2014 a modifié le micrologiciel du bus CAN de la Jeep afin de prendre le contrôle et de commander à distance le véhicule en mouvement.
- Il existe de nombreux exemples de systèmes industriels similaires au bus CAN qui utilisent un système de bus de communication non sécurisé et qui souhaitent profiter des opportunités commerciales offertes par les technologies IoT .
- Exemples de systèmes de bus peu sûrs et bien implantés :
- CAN-bus. Automobile, camionnage, équipement lourd, rail, autobus
- BAC-Net. Bâtiment, CVC, Réfrigération, Éclairage
- Contrôle industriel et SCADA
- Systèmes de services publics et SCADA
- Système de contrôle industriel
