Les spécialistes de la sécurité IT savent qu’ils courent le risque d’être aux prises avec des certificats falsifiés et des distributeurs de certificats non fiables, mais la plupart ne réagissent pas.
Voilà ce qui ressort d’une enquête effectuée par Venafi parmi plus de 300 experts en sécurité lors de Black Hat USA 2015.
L’immense majorité – 90 pour cent – estime que d’ici deux ans, une attaque réussie sera lancée à l’encontre de grands distributeurs de certificats, tels Symantec, Comodo ou Entrust. Plus de deux tiers connaissent aussi très bien les risques que fait courir un CA non fiable, mais la plupart préfèrent rester les bras croisés. Prenons l’exemple du CA chinois CNNIC. Google et Mozilla ont récemment annoncé ne plus faire confiance à ce CA gouvernemental. Jusqu’à présent pourtant, il n’y a que chez un quart des participants à l’enquête que les certificats émis par CNNIC ont été retirés de tous les systèmes. Un autre quart n’a rien fait, un tiers n’est même pas au courant, et le reste attend qu’Apple et Microsoft prennent des mesures.
L’on ne semble pas être au courant non plus de qui assume la responsabilité de la protection des certificats et des clés cryptographiques. Deux tiers pensent que c’est le CA qui s’en occupe. Seul un tiers sait vraiment ce qu’il en est: dès que le certificat est distribué, c’est celui qui l’acquiert qui doit en assurer la protection.
Source: Automatiseringgids
