La technologie numérique a ouvert un monde de solutions pour les petites entreprises en offrant des niveaux d'efficacité supérieurs. Mais il a également introduit des menaces auxquelles ils n'avaient jamais été exposés auparavant.
Une étude récemment publiée par SEC Consult, un fournisseur international de services de sécurité d’application et de conseil en sécurité de l’information, a révélé au moins une de ces nouvelles menaces. SEC Consult a récemment annoncé qu'une pratique consistant à partager les mêmes certificats de serveur HTTPS et les mêmes clés SSH (Secure Shell Host) avait mis en danger un certain nombre de petites entreprises. C’est après avoir appris à beaucoup que le passage de HTTP à HTTPS améliorerait la sécurité de leurs sites Web.
$config[code] not foundUne brève explication de
Le protocole HTTPS (Hyper Text Transfer Protocol Secure) chiffre et déchiffre les demandes de page utilisateur afin de les protéger contre les attaques par écoute illicite et par interception. Les communications envoyées via des connexions HTTP classiques étant en «texte brut», elles peuvent être lues par des pirates informatiques pendant le transfert des messages entre votre navigateur et le site Web. Avec HTTPS, la communication est cryptée et le pirate informatique ne peut pas pénétrer dans la connexion.
C’est ainsi que cela est supposé fonctionner, mais si le certificat HTTPS et les clés SSH sont partagés en utilisant les mêmes, encore et encore, quelqu'un pourra le comprendre et lire les communications.
SEC Consult a analysé le micrologiciel de plus de 4 000 appareils intégrés de 70 fournisseurs en examinant les clés cryptographiques, notamment les routeurs, les modems, les caméras IP, les téléphones VoIP, les périphériques de stockage réseau, les passerelles Internet, etc. Il y avait des clés publiques et privées ainsi que des certificats dans les images du micrologiciel.
La société a exposé plus de 580 clés privées uniques parmi les périphériques sélectionnés. Les chercheurs ont ensuite mis en corrélation les clés d’analyses accessibles au public sur Internet, ce qui leur a permis de découvrir 150 certificats pour 3,2 millions d’hôtes HTTPS. Cela correspond à neuf pour cent de tous les hôtes HTTPS sur le Web. Les chercheurs ont en outre découvert 80 clés d’hôte SSH, soit plus de six pour cent de tous les hôtes du shell sécurisés sur le Web, totalisant 0,9 million d’hôtes.
Cela équivaut à au moins 230 clés qui sont activement utilisées par plus de 4 millions d'appareils. Avec autant d'appareils, il ne faut pas s'étonner que certains des principaux fabricants de matériel informatique au monde soient touchés par ce problème.
Parmi les entreprises identifiées figurent Alcatel-Lucent, Cisco, General Electric (GE), Huawei, Motorola, Netgear, Seagate, Vodafone, Western Digital et bien d’autres, indique le rapport.
Comme il s’agit du matériel des produits, les éditeurs doivent implémenter les correctifs. Selon Forbes, six fournisseurs - Cisco, ZTE, ZyXEL, Technicolor, TrendNet et Unify - ont confirmé que des correctifs étaient à venir. Mais cela laisse très peu d’options aux petites entreprises utilisant les appareils affectés. Tout ce qu'ils peuvent faire, c'est attendre un correctif de la part de la société qui a fabriqué le produit.
Certains appareils ne permettent pas de changer les clés et les certificats, ce qui complique encore les choses.SEC Consult a annoncé la publication prochaine de tous les certificats et clés privées identifiés. Entre-temps, vous pouvez vous rendre sur le site de la société pour lire le rapport et savoir si votre petite entreprise utilise un produit de la liste des sociétés.
https Photo via Shutterstock
1
