Quand ils parviennent à s’introduire dans les systèmes informatiques d’une entreprise, les pirates cherchent aussi à mettre la main sur les clés de chiffrement et les certificats de sécurité. Et la plupart des professionnels de la sécurité ne savent pas ce qu’ils doivent faire dans ce cas. Souvent, ils oublient de changer les clefs et de révoquer les certificats compromis.

C’est en tout cas ce qu’indique le sondage publié hier par le vendeur de solutions de sécurité Venafi, lequel a profité de la RSA Conference qui s’est tenue en avril dernier pour interroger 850 professionnels de la sécurité. « Comme vous l’avez remarqué, lors du piratage de Sony, les hackers ont volé des dizaines de clés et de certificats en plus des données », a déclaré Kevin Bocek, vice-président de la stratégie de sécurité et de l’intelligence sur les menaces chez Venafi. Or, seulement 8 % des professionnels de la sécurité interrogés ont déclaré que si leur entreprise était victime d’une attaque similaire à celle menée contre Sony, ils modifieraient totalement leurs clés de chiffrement et remplaceraient leurs certificats. « Il faut bien sûr remettre les choses en ordre, mais pour rétablir un contexte sécurisé il ne faut pas oublier de changer les clefs », a-t-il dit.

43% des enteprises ont mis en place un système de gestion des clés

En effet, les clés et les certificats volés peuvent être réutilisés par les pirates pour s’introduire à nouveau dans les systèmes de l’entreprise. Mais ils peuvent également les utiliser pour usurper l’identité de la société ou surveiller ses communications. Ils peuvent s’en servir pour décrypter le trafic, créer de faux sites Web au nom de l’entreprise ou se faire passer pour les administrateurs, ou encore diffuser des logiciels malveillants en les faisant passer pour de vraies applications. Reste que de nombreuses entreprises n’ont pas de systèmes adaptés pour gérer les clés et les certificats, ou pour les remplacer si nécessaire. Seulement 43 % des professionnels interrogés ont déclaré qu'ils utilisaient un système de gestion des clés et 14 % ont dit qu'ils réalisaient cette gestion manuellement. Enfin, 16 % ont déclaré qu'ils ne savaient pas, et 22 % ont dit que cette gestion ne relevait pas de leur responsabilité. En outre, 38 % des répondants ont dit qu'ils ne savaient pas comment détecter les clés ou les certificats compromis. « En général, les systèmes traditionnels ne sont pas conçus pour identifier les clés ou les certificats compromis », a déclaré Kevin Bocek.

La majorité d’entre eux, soit 56 %, a indiqué qu'ils utilisaient des pare-feu, des antivirus, des systèmes de détection et de protection contre les intrusions ou des bacs à sable de dernière génération pour se protéger contre ce type d'attaques. Cependant, selon Venafi, « il reste encore un angle mort : les attaquants peuvent très bien utiliser le trafic crypté pour contourner ces protections. De plus, l'utilisation du cryptage continue de croître », a ajouté Kevin Bocek. « Aujourd’hui, des directeurs marketing achètent des certificats de sécurité uniquement parce qu'ils modifient les classements des sites Web et le SEO », a déclaré le vice-président de Venafi. « Cela revient à dire qu’ils prennent des décisions en matière de sécurité. Cela fait beaucoup de choses à surveiller ».

Un temps de réponse de plus de 2h en cas d’attaque sur les clés SSH

Les professionnels de la sécurité de l'information ont également reconnu qu’ils avaient besoin de temps pour répondre à une attaque sur leurs clés SSH : 64 % ont déclaré qu'il leur faudrait plus de 24 heures, et plus de la moitié a estimé qu'ils auraient besoin de trois jours à une semaine pour détecter le problème et remplacer les clés sur tous les hôtes compromis. Les clés SSH sont utilisées pour authentifier les administrateurs, les serveurs et les clouds - et elles n’expirent jamais. Kevin Bocek a précisé que c’était la quatrième année que Venafi réalisait cette enquête pendant la conférence RSA, mais qu'il ne pouvait pas établir de comparaisons entre ces sondages parce que le questionnaire était tout à fait différent d’une année sur l’autre.