27% des certificats sur Yahoo n'ont pas été réédités depuis 2015

27% des certificats sur Yahoo n'ont pas été réédités depuis 2015

 

 

Selon Venafi, Yahoo n'a pas pris les mesures pour se protéger et utilise des pratiques de chiffrement très faibles

 

 

 Les équipes du laboratoire de recherche Vénafi - "Venafi Labs", ont analysés des données via TrustNet, la base de données mondiale sur les "Certificate Intelligence" et ont constaté que27% des certificats sur Yahoo n'ont pas été réédités depuis janvier 2015. Même si les certificats sont remplacés, ce qui pourrait réduire les dégâts, Yahoo ne peut avoir la certitude que les hackers n'ont pas les accès actuels aux communications cryptées.
Seulement 2,5% des 519 certificats déployés l'ont été durant les 90 derniers jours. Il est donc très probable que Yahoo! n’ait pas la capacité de trouver et remplacer des certificats numériques rapidement… Et malheureusement c’est un problème très commun, même pour les grandes organisations qui ont une présence importante en ligne.
Les données étudiées par "Venafi Labs" comportent un nombre impressionnant de certificatsYahoo qui utilisent MD5, une fonction de hachage cryptographique pouvant être renversée par une attaque brutale : MD5 souffre de sérieuses failles qui sont par ailleurs très bien connues. Par exemple Flame, une famille de logiciels malveillants souvent utilisés par les départements espionnage de certains pays, a exploité une vulnérabilité MD5. Tous les certificats MD5 utilisés par Yahoo aujourd'hui et bien d'autres certificats évalués par "Venafi Labs" sont émis par les entreprises elles-mêmes. Un certificat MD5 actuel utilise des caractères génériques (*.yahoo.com) et a une date d'expiration de 5 ans. Les certificats de ce type (avec des dates d'expirations très longues et émis par les entreprises elles-mêmes ou encore ceux qui utilisent des caractères génériques) sont tous les symptômes d'un contrôle cryptographique très faible.
41% des certificats de Yahoo sur l'ensemble des données de TrustNet utilisent SHA-1,un algorithme de hachage qui n'est plus considéré comme sécurisé contre des détracteurs disposant de gros moyens financiers. Les principaux vendeurs de navigateurs ont déclaré qu'ils arrêteraient les certificats SHA-1 en janvier 2017.


Selon Alex Kaplunov, Vice President of engineering for Venafi:
D'après l'expérience que nous avons, les principales violations - identiques à celles qu'a connues Yahoo - sont souvent dues à des contrôles cryptographiques faibles. Pour confirmer cette supposition, nous avons fait un examen approfondi à la fois sur les propriétés du site Yahoo et les informations qui permettent de savoir comment ces sites utilisent la cryptographie. Nous avons trouvé des pratiques de chiffrement relativement faibles. Ce n'est pas surprenant. Selon nous, la plupart des entreprises, y compris les grands groupes disposant de gros investissements pour la sécurité informatiques, ont des contrôles cryptographiques faibles"

Selon, Hari Nair, Director of Product management and Cryptographic researcher for Venafi :
"N'importe laquelle de ces questions cryptographiques, laisserait une organisation extrêmement vulnérable aux attaques des communications cryptées et leur authentification. Au niveau collectif, cela soulève de sérieuses questions sur le fait que Yahoo puisse avoir la visibilité et la technologie nécessaire pour protéger les communications cryptées et assurer aux utilisateurs leur vie privée. Nos recherches nous laissent penser qu'il y a généralement un niveau élevé de co-relation entre le faible contrôle cryptographique et la politique globale en sécurité informatique".

Kevin Bocek, Chief Security Strategist chez Venafi rajoute:
" Les données de 500 millions d'utilisateurs Yahoo ont été exfiltrées - il semble très probable que les données exfiltrées étaient chiffrées et c'est comme ça que les hackers ont réussi à déplacer une telle quantité de données: en restant sous le contrôle des outils de sécurité de Yahoo. A moins d'avoir mis en place des procédures puissantes de cryptographie, il est quasi impossible pour n'importe quelle organisation de détecter un trafic non autorisé, crypté, qu'il soit entrant ou sortant. Le chiffrement des données n'est pas suffisant pour assurer la sécurité et la vie privée - une série de propriétés de chiffrage technique doit être associée pour assurer à la fois sécurité et vie privée-. C'est pour cette raison que - malgré les énormes investissements réalisés dans la technologie de sécurité informatique par chaque type d'organisation -, nous continuons à voir un flux continu d'intrusions majeures.
Yahoo n'a pas remplacé ses clés cryptographiques et ses certificats numériques durant les 90 derniers jours, en aucune façon cela ne pourrait représenter une réaction coordonnée face à une intrusion. Fait encore plus troublant, les fragilités connues sur les certificats MD5 associées avec des "Wildcard certificate" qui ont une date d'expiration de 5 ans, montrent clairement que Yahoo manque d'une vision approfondie sur sa position au niveau de la sécurité informatique.
Les organisations utilisent le chiffrement pour tout sécuriser - sans une connaissance approfondie de risques cryptographiques, il n'y a absolument aucun moyen d'être certain de préserver sécurité et vie privée.

 


PrécédentAccueilSuivantPartager