La crypto-agilité, clé d’une sécurisation durable des sites web

À la suite du lancement de Chrome 70, les certificats émis par l’autorité de certification (AC) de Symantec avant le 1er décembre 2017 seront désavoués par ce navigateur.

En parallèle, Mozilla devrait logiquement ne plus faire confiance à ces certificats dans la prochaine version de son navigateur, après avoir différé cette mesure en octobre 2018. En conséquence, si un site web continue à utiliser un certificat Symantec, une bannière avertira les visiteurs que le site en question n’est pas sûr ; Symantec est loin d’être un cas isolé. Ces dernières années, un certain nombre d’AC sont surveillées de près et les éditeurs de navigateurs n’hésitent pas à prendre des mesures drastiques dès lors que des pratiques exemplaires ne sont pas au rendez-vous. Si ce militantisme sécuritaire mérite d’être salué, il complique également la tâche des entreprises, contraintes de rechercher, révoquer et remplacer des certificats névralgiques à très bref délai. Alors, comment celles-ci peuvent-elles suivre le rythme de ces changements en conservant leur agilité ?

La racine du problème

Pour cerner véritablement cette problématique, il faut d’abord analyser la finalité des certificats SSL/TLS et leurs modalités d’utilisation. Ces certificats servent à authentifier et assurer les communications de machine à machine (M2M) ; en substance, ils vérifient qu’un site web donné est bien ce qu’il prétend être, en lui attribuant une identité attestant qu’il est digne de confiance. Ces certificats – ou plutôt ces identités machines – émanent d’autorités de certification qui émettent plusieurs millions d’identités chaque année. Une AC délivrera un certificat pour confirmer l’authenticité de l’entreprise, indiquer que sa connexion web est sécurisée et qu’un client peut faire confiance à son site web. En l’absence de certificats sécurisant les identités machines, les communications de machine à machine sont vouées à l’échec.

En ce qui concerne Symantec, les problèmes ont commencé en 2017 lorsqu’une équipe de chercheurs chez Google a constaté une succession d’incidents. Dans un communiqué, Google précisait alors que "Symantec avait confié à plusieurs entités le soin d’émettre des certificats sans procéder aux contrôles appropriés ou nécessaires, et était au courant depuis quelque temps de carences en matière de sécurité". Ce constat a, par la suite, "occasionné, chez l’équipe en charge de Chrome, une perte de confiance en la fiabilité de l’infrastructure Symantec et, par voie de conséquence, à l’égard des certificats déjà délivrés par celle-ci ou appelés à l’être". La première phase de défiance à l’égard de Symantec commence en avril 2018.

Nous avons précédemment été témoins de plusieurs infractions commises par d’autres AC qui ont donné lieu à des dénouements similaires. Exemple concret en 2015, lorsqu’il est apparu que des utilisateurs pouvaient obtenir des certificats WoSign pour des domaines qu’ils n’administraient pas ; il a alors fallu les remplacer tous en urgence. Continuer à utiliser des certificats non-valides peut en effet avoir de graves répercussions sur une entreprise, car les navigateurs restreindront généralement l’accès à son site, d’où une réduction de trafic qui, au final, aura des répercussions sur le chiffre d’affaires, la réputation et l’expérience client.

Trop de pièces mobiles entrant en jeu

Rien n’indique que ces erreurs imputables aux AC cesseront à l’avenir. Les AC, voire les certificats eux-mêmes, poseront toujours problème. Il appartient aux entreprises de veiller à conserver la mainmise sur leurs identités machines afin de préserver leur sécurité et prévenir les pertes de recettes. Néanmoins, en raison de l’apparente difficulté à non seulement gérer, mais aussi localiser et remplacer la totalité des identités machines impactées, il y aura toujours des sites incapables d’opérer leur migration au moment opportun.

Nombre d’entreprises n’ont pas même recensé leurs identités machines, mais disposent de certificats émis par plusieurs dizaines d’AC différentes. Aussi le remplacement de ceux délivrés par l’une d’elles est-il de nature à créer des bouleversements majeurs dans les activités au quotidien, et certaines identités risquent d’ailleurs de passer entre les mailles du filet, en particulier lorsqu’elles sont gérées manuellement.

En tout état de cause, ce problème est manifestement d’ores et déjà dans la ligne de mire des professionnels de la sécurité informatique, puisqu’une étude de Venafi établit que 81 % des professionnels interrogés redoutent de futurs incidents liés aux AC. Or, ils ne sont que 23 % à se dire confiants en leur capacité à retrouver et remplacer rapidement la totalité des certificats impactés.

En outre, s’ils sont 74 % à estimer être en mesure de localiser et remplacer en un clin d’œil la totalité des certificats compromis par une AC, ils ne sont que 8 % (et c’est à peine croyable) à avoir mis en place un processus automatisé à cet effet. En réalité, rien qu’en raison du volume de certificats possédés par chaque entreprise, il est impossible de parer rapidement aux futures erreurs des AC à partir du moment où une entreprise gère manuellement ses identités machines.

La crypto-agilité à la rescousse

Raison pour laquelle la crypto-agilité – autrement dit, la capacité à gérer des identités machines en temps réel – s’avère indispensable. La crypto-agilité permet aux entreprises de repérer et de remplacer en un clin d’œil des certificats en masse, si des atteintes à la sécurité ou si les besoins de l’activité l’imposent. À l’heure actuelle, il leur faut plusieurs jours, voire plusieurs semaines, pour localiser et remplacer des certificats, ce qui n’est pas de nature à garantir la sécurité. En automatisant le processus, cette opération peut être menée à bien d’un simple clic.

Jamais la crypto-agilité n’a été aussi importante pour faire en sorte que les entreprises puissent véritablement se protéger, et protéger leurs clients, des pirates. Elles doivent donc investir dans une technologie crédible pour automatiser le suivi des certificats ; il n’est plus envisageable d’effectuer cette opération manuellement : le nombre de certificats en jeu est trop conséquent, tout simplement.

Une solution pérenne

Le désaveu des certificats Symantec par Google n’est pas, en soi, la fin du monde. Si les entreprises sont capables de centraliser la gestion de l’ensemble de leurs identités machines et d’automatiser ce processus, voilà qui favorisera la crypto-agilité et accélèrera leur migration dès l’instant où une faille ou une vulnérabilité sera mise au jour. Ce faisant, les entreprises pourront se prémunir contre les turbulences du marché des AC, protéger leur réputation et garantir la continuité de leurs activités de services en ligne.