85 % des pros de la sécurité informatique pensent que Google révoquera d’autres autorités de certification

Gratuit
Recevez toutes nos informations et actualités par Email.
Entrez votre adresse email :

Venafi livre les résultats d’une étude menée par Dimensional Research qui visait à savoir dans quelle mesure les entreprises étaient prêtes à faire face aux erreurs des autorités de certification (AC) et aux révocations de certificats par certains navigateurs.

Même s’ils craignent les sanctions à venir, rares sont les professionnels de la sécurité informatique qui disposent des outils nécessaires pour changer très vite d’AC. Ainsi, 15 % seuls des sondés associent la décision prise par Google de révoquer les certificats Symantec à un événement exceptionnel et 23 % seulement s’estiment parfaitement aptes à retrouver et remplacer les certificats impactés. “Aucune AC n’est à l’abri de risques, et les compromissions et erreurs de ce côté peuvent donner du fil à retordre à des entreprises tenues de retrouver et de remplacer quantité de certificats dans des délais très courts, explique Mike Dodson, responsable mondial des architectes en solutions pour Venafi. Si les entreprises doivent avoir davantage de prise sur les AC en qui elles placent leur confiance, elles doivent également admettre que leur mainmise ne sera jamais absolue. Les navigateurs, par exemple, jouent un rôle essentiel dans la confiance que nous accordons aux AC. Récemment, Chrome et Mozilla ont décidé de ne plus accorder la leur aux certificats émis par Symantec et aujourd’hui, nombre d’entreprises doivent remplacer ces certificats avant une date-butoir”.

D’autres éléments indiquent que les professionnels de la sécurité surestiment leur capacité à faire face à un manquement des AC :

  • 81 % des participants se disent préoccupés par d’éventuelles sanctions imputables aux AC.
  • Si 61 % affirment avoir mis en place un plan qui leur permettrait de remplacer la totalité des certificats Symantec dans les délais impartis, ils ne sont que 58 % à disposer d’un inventaire précis comprenant l’adresse IP de tous les équipements où ont été installés des certificats reliés à une racine Symantec.
  • Près de deux tiers (62 %) sont certains de ne pas disposer de certificats émis par des AC non autorisées, mais la moitié seulement a mis en place des mécanismes pour détecter leur présence.
  • Si 74 % des participants estiment être en mesure de repérer et remplacer la totalité des certificats compromis, ils ne sont que 8 % à avoir mis en place des processus automatisés.

L’an dernier, des chercheurs affiliés à Google ont fait valoir des irrégularités dans l’émission de plusieurs milliers de certificats TLS (Transport Layer Security) en provenance de Symantec, et de ses AC affiliées. En conséquence, les équipes de Chrome ont annoncé un plan progressif de révocation des certificats Symantec. La première date-butoir est fixée au 17 avril 2018, date à laquelle Chrome 66 et Mozilla révoqueront les certificats TLS Symantec émis avant le 1er juin 2016.

Source: infodsi

  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »