La durée de vie réduite des certificats publics de Google et Apple sert de répétition générale avant la cryptographie post-quantique

Chaque être humain ET chaque machine doivent donc avoir une identité unique. Dans le monde des identités machine, deux changements sismiques qui feraient même frémir Héraclite se profilent à l'horizon

Il y a 2 500 ans, le philosophe grec Héraclite affirmait : « La seule constante dans la vie est le changement. » L’industrie de la cybersécurité n’est pas étrangère à cette idée. Pour Aristote, une entité sans identité ne peut exister. Chaque être humain ET chaque machine doivent donc avoir une identité unique. Dans le monde des identités machine, deux changements sismiques qui feraient même frémir Héraclite se profilent à l’horizon.

Au cours des 6 à 12 prochains mois, Google et Apple devraient réduire la durée de vie des certificats TLS publics à 90 jours voire moins.  Apple a proposé de la réduire encore plus que Google en la ramenant à seulement 47 jours d’ici 2028.

Et à plus long terme, le spectre de la cryptographie post-quantique (CPQ) se dessine. Ce changement générationnel dans le monde numérique prendra des années à se mettre en place et affectera les éléments les plus fondamentaux de cet univers : il est quasiment certain que les ordinateurs quantiques parviendront à déjouer la cryptographie actuelle et permettront aux cybercriminels d’usurper des identités machine, de déchiffrer des données et d’exécuter des ransomwares.

Compte tenu de l’ampleur de ces défis, les responsables de la sécurité s’inquiètent à juste titre. Les trois quarts d’entre eux (74 %) affirment que les projets de Google sèmeront le chaos, tandis que 67 % redoutent le jour où leur conseil d’administration les interrogera au sujet de la CPQ. Cependant, en l’absence d’échéances précises dans les deux cas, il peut sembler qu’il s’agit là de problèmes que l’on peut repousser à plus tard.

Les organisations doivent s’y préparer dès maintenant, et bien que ces deux initiatives puissent sembler disparates, elles ont plus en commun qu’il n’y paraît. En réalité, se préparer à la réduction de la durée de vie des certificats publics constitue une première étape cruciale avant d’affronter l’ère post-quantique.

Des bons et des mauvais côtés, pour une ampleur sans précédent

Ces deux évolutions auront un effet positif sur la sécurité. Les modifications que Google et Apple entendent apporter à la durée de vie des certificats contribueront à réduire le temps dont dispose un adversaire pour exploiter un certificat compromis. Quant à la CPQ, elle relèvera la barre en révolutionnant le chiffrement de manière à ce que les identités machine restent sécurisées une fois que de puissants ordinateurs quantiques seront entre les mains des adversaires.

Cependant, en l’absence de préparation, la transition vers de nouvelles normes de sécurité des identités machine pourrait causer des difficultés à court terme. Toutes les entreprises disposant d’un site web utilisent des certificats TLS publics et seront affectées par des durées de vie réduites. Pour s’adapter aux certificats de 90 jours de Google, elles devront remplacer les certificats TLS cinq fois plus souvent qu’aujourd’hui. Les certificats de 47 jours d’Apple devront être remplacés presque dix fois plus souvent. Le risque qu’un certificat expire avant d’être remplacé s’en trouve donc accru, ce qui pourrait entraîner des pannes coûteuses. Bien qu’elle ne soit pas liée aux certificats, la récente panne de CrowdStrike nous a donné un avant-goût des dégâts que ces incidents peuvent causer. Si les organisations ne sont pas préparées, des scénarios similaires pourraient se produire quotidiennement.

Ne pas se préparer à la CPQ pourrait avoir un impact encore plus dévastateur. Si un ordinateur quantique capable de percer le chiffrement vient à être créé, il s’agira d’un séisme d’ampleur mondiale : plus rien ne sera à l’abri. Les organisations seront à la merci des adversaires, qui pourront pirater des machines en un clin d’œil. Toutes les données présentes aux quatre coins d’Internet seront en danger. Mais surtout, nul ne sait quand cela pourrait se produire : ainsi, les organisations pourraient devoir agir très rapidement pour migrer vers de nouvelles normes de chiffrement.

Il y a eu des cas par le passé, comme la célèbre faille Heartbleed en 2014, où des organisations ont été contraintes de remplacer toutes leurs identités machine. Mais il n’a jamais été question d’une telle ampleur. Compte tenu de l’émergence de solutions intégrant nativement le cloud et de technologies telles que l’IA, les organisations emploient aujourd’hui des milliers d’identités supplémentaires. Chacune de ces identités, qui se comptent en milliers voire en centaines de milliers dans le système d’une entreprise, sera un point de défaillance potentiel si elle n’est pas correctement gérée et sécurisée.

Préparer l’avenir dès aujourd’hui, avec un dossier prenant en compte les données d’aujourd’hui

Pour éviter des pannes coûteuses ou des cyberattaques dévastatrices, les organisations doivent savoir où se trouvent toutes leurs identités machine, à quoi elles servent et quand elles sont censées expirer, mais aussi avoir la possibilité de les échanger rapidement avant qu’elles ne déclenchent une panne ou une cyberattaque. Or, il est impossible de gérer et de sécuriser manuellement toutes les identités machine d’une organisation, a fortiori si elles expirent cinq fois plus vite ou si elles sont infiniment plus complexes. Non seulement ce processus laborieux prend du temps et n’est pas fiable, mais il s’accompagne d’un risque d’erreur humaine. Face à des enjeux aussi importants, il faut absolument éviter de remettre au hasard la sécurité des identités machine.

Les organisations doivent ainsi faire appel à l’automatisation pour résoudre ce problème complexe. Cela permet aux responsables de la sécurité de prendre le contrôle de leurs identités machine. À court terme, l’automatisation sera essentielle pour préparer les organisations à la réduction de la durée de vie des certificats publics, en veillant à ce qu’aucune identité machine ne passe entre les mailles du filet, ceci afin d’éviter toute panne. Sur le long terme, les organisations devront suivre exactement le même processus de découverte et de remplacement des identités machine pour la CPQ. En se préparant dès aujourd’hui à une durée de vie réduite des certificats publics, les organisations s’armeront pour l’avenir.

Prendre de l’avance tant que c’est possible

La CPQ et les projets de Google et Apple concernant la réduction de la durée de vie des certificats publics constituent un défi d’une ampleur sans précédent, et sans automatisation, le chaos guette la machine. Et si ces défis ne sont pas pour demain, ils se profilent tout de même à l’horizon.

La bonne nouvelle, c’est que les responsables de la sécurité ont aujourd’hui l’occasion de faire de la sécurité des identités machine une priorité afin de protéger leur organisation et ses clients contre les menaces émergentes. Ceux qui prendront les mesures nécessaires pour automatiser la sécurité des identités machine seront bien placés pour faire face aux certificats de 90 jours et à la CPQ. Les autres pourraient se retrouver confrontés à des pannes quotidiennes et démunis face aux cyberattaques.