Supposons que votre entreprise ait hâte de surfer sur la nouvelle vague de croissance suscitée par l’Internet des objets, l’émergence du cloud et la connectivité croissante et permanente de milliards d’internautes. La question est la suivante : quel serait le défi par excellence à relever pour assurer le succès de votre stratégie ? Réponse : avoir la certitude de pouvoir faire confiance à tous ces utilisateurs et équipements. Que chacun d’entre eux est bien ce qu’il dit être. Pourquoi ? Parce que nous connaissons tous la signification du dicton « Sur Internet, personne ne sait que tu es un chien ». Dans les dix ans qui viennent, la fiabilité des communications sera un enjeu majeur pour les entreprises. Celles qui prennent les devants en professionnalisant la gestion des certificats de confiance ouvrent la voie à des innovations maîtrisées et à de nouveaux concepts.
« La mort de la PKI ». C’est ce qu’annonçait Gartner dès 2004 en réponse aux difficultés rencontrées pour faire d’Internet un espace digne de confiance. Le défi était de taille : en fait, le grand dessein d’Internet n’a jamais été de donner aux utilisateurs une identité numérique. Afin de garantir l’identité des personnes et des machines connectées à Internet, les entreprises et les autorités ont commencé à mettre en place des infrastructures de clés publiques (PKI, Public Key Infrastructure).
Avec le recul, il apparaît que Gartner avait tort. Bien que le terme PKI ne soit pas entré dans le langage courant, la tendance sous-jacente est claire. Les idées que porte la PKI sont bien vivantes, même si c’est sous une forme quelque peu différente d’il y a dix ans. Les pouvoirs publics et les entreprises s’efforcent aujourd’hui de résoudre les problèmes entourant la confidentialité des communications et leur authentification par l’émission de certificats qui font office de passeports numériques. L’utilisation de ces certificats est désormais prise en charge dans les principales normes de sécurité et intégrée dans de nombreuses applications. Ces certificats sont multiples et participent en définitive à la mise en œuvre des idées originales contenues dans la PKI. En résumé, la PKI constitue une tendance lourde et silencieuse depuis une dizaine d’années.
Il existe de bonnes raisons d’employer les certificats de confiance : il s’agit tout simplement d’instaurer la confiance dans les communications sur Internet. Cependant, à l’instar de toute technologie, ces certificats ne sont pas sans faille et il n’y a pas de solution miracle pour combattre les abus ou la cybercriminalité. Les pirates et autres criminels recourent à des méthodes avancées pour s’infiltrer dans les réseaux et systèmes, avec notamment pour objectifs d’acquérir un statut de confiance, de contourner les contrôles de sécurité et de passer inaperçus. En dérobant et/ou détournant des clés et certificats, ils peuvent échapper aux radars et pénétrer dans ces réseaux et systèmes. C’est pourquoi les clés et les certificats sont aujourd’hui des cibles privilégiées des criminels et leur méthode de prédilection pour les attaques. Pourtant, maintes entreprises et administrations continuent de leur faire une confiance aveugle, sans prendre soin de les gérer de manière appropriée et structurée.
Ces dernières années, nous avons été témoins d’un certain nombre d’incidents très médiatisés liés aux certificats (et à leur détournement). C’est par exemple le cas de l’attaque « Heartbleed ». Environ un demi-million de serveurs Web sécurisés d’Internet certifiés par des autorités de confiance ont été vulnérables à l’attaque, ce qui a permis le vol de leurs clés privées et mots de passe. C’est là sans doute l’une des pires failles de sécurité dans l’histoire du réseau mondial. Paradoxalement, Heartbleed et les autres incidents n’ont pas servi de piqûre de rappel pour les entreprises et les administrations afin de les inciter à renforcer la protection de leurs clés et certificats.
Bon nombre d’entreprises n’ont même pas une vision claire de leur usage des certificats. Les DSI (directeurs des systèmes d’information) et RSSI (responsables de la sécurité des systèmes d’information) n’ont souvent aucune idée du nombre de certificats employés dans leur entreprise pour la communication avec des tiers. Dans bien des cas, ils sont étonnés du degré d’utilisation de ces certificats. L’un des problèmes tient au fait que les certificats sont extrêmement nombreux, variés et en évolution constante, formant une véritable jungle. Le meilleur moyen d’y remédier serait de faire le ménage dans cette jungle et de normaliser l’univers des certificats. Cela semble toutefois relever plutôt de l’utopie.
Alors, comment les entreprises peuvent-elles atténuer les risques découlant des vulnérabilités dont souffrent les certificats ?
La première étape consiste à prendre conscience de l’importance des certificats et des clés et de déterminer leur nature et leur nombre. À l’heure actuelle, de nombreuses entreprises pensent pouvoir gérer leurs certificats au moyen d’un tableur. Il est alors difficile de savoir qui est responsable de quoi et les mises à jour reviennent souvent à cocher des cases. Une fois que la question aura gagné en visibilité (grâce à des outils spécialisés), le changement peut commencer. Des solutions spécialisées dans la gestion de cet aspect essentiel de la sécurité sont à même d’évaluer en permanence les clés et les certificats qui sont dignes de confiance, de protéger ceux qui le sont et de réparer ou bloquer ceux qui ne le sont pas. Cette stratégie de défense est non seulement efficace face aux dangers réels, mais elle est aussi bien plus économique que la maintenance manuelle des certificats.
Enfin et surtout, pourquoi est-il vital d’agir ? La réponse évidente est : pour prévenir les incidents de sécurité. La raison moins évidente – mais plus convaincante pour bien des dirigeants d’entreprises – est que la gestion des certificats est une condition préalable à la mise en œuvre de nouveaux concepts. À l’âge d’or d’Internet, nous nous inquiétions de la véritable identité de ses utilisateurs. Bon nombre d’entre nous se remémorent ce dessin humoristique paru en 1993 dans The New Yorker, avec la célèbre légende « Sur Internet, personne ne sait que tu es un chien ». Cette phrase est toujours valable de nos jours, avec le franchissement d’un nouveau palier sous l’effet de tendances telles que le cloud et l’Internet des objets. Plus de 20 ans après ce dessin, il nous faut aussi déterminer si les thermostats, réfrigérateurs, voitures, plates-formes pétrolières et divers autres équipements connectés sont vraiment ce qu’ils prétendent être. De fait, chacun d’entre eux pourrait aussi bien être un chien sur Internet. Si nous n’en avons pas conscience, nous nous heurterons à un problème de taille pour déployer de nouveaux concepts.
________
Cet article a été rédigé par Tammy Moskites, CIO & CISO de Venafi) et John Hermans, Partner de KPMG Information Protection Services)