Peu d’entreprises appliquent des procédures de sécurité à leurs identités machine en code signing
Venafi®, spécialiste de la protection des identités machine, a dévoilé aujourd’hui les résultats d’une étude menée auprès de 320 professionnels en sécurité informatique aux Etats-Unis, au Canada et en Europe, sur leurs pratiques de sécurité liées aux certificats de code signing. Elle révèle qu’à peine 28 % des entreprises mettent systématiquement en œuvre un processus de sécurité défini portant sur les certificats de code signing.
« Lorsque des attaquants mettent la main sur les clés et les certificats de code signing qui servent aux identités machine, ils peuvent engendrer d’énormes dommages », indique Kevin Bocek, vice-président du département de sécurité et d’analyse des menaces de Venafi. « Les processus de code signing sécurisées activent les applictaions, les mises à jour, et les logiciels open source pour fonctionner correctement, mais s’ils ne sont pas protégés les hackers peuvent en faire des armes informatiques puissantes. Les certificats de code signing comptent par exemple parmi les outils ayant contribué au succès de Stuxnet et ShadowHammer. En réalité, toutes les entreprises exercent des activités de développement logiciel, qu’il s’agisse des banques, des distributeurs ou des fabricants. Si vous créez du code, deployez des containers ou travaillez en mode cloud, vous devez vous pencher sérieusement sur la sécurité du processus de signature afin de protéger votre entreprise“.
L’étude Venafi a établi que même si les professionnels de la sécurité comprennent les risques liés aux certificats du code signing, ils ne mettent pas en œuvre les mesures nécessaires à leur protection.
Les principales conclusions sont les suivantes :
- 50 % des personnes interrogées craignent que des cybercriminels nuisent à la sécurité de leur entreprise au moyen de certificats de signature de code contrefaits ou dérobés.
- À l’échelle mondiale, seules 29 % des entreprises appliquent systématiquement des politiques de sécurité de signature de code. Ce problème est néanmoins plus marqué en Europe, où cette proportion chute à 14 %.
- 35 % des répondants indiquent que le propriétaire des clés privées employées par les processus de code signing de leur entreprise n’est pas clairement établi.
- 69 % prévoient que leur usage de certificats de code signing s’intensifiera l’année prochaine.
Les certificats de code signing servent à sécuriser et assurer l’authenticité des mises à jour de nombreux produits logiciels, notamment les microprogrammes, les systèmes d’exploitation, les applications mobiles et les images de lecteur d’applications. Cependant, plus de 25 millions de fichiers binaires malveillants sont dotés d’un certificat de signature de code, qui est employé par les cybercriminels lors de leurs attaques. À titre d’exemple, des chercheurs en sécurité ont découvert que des pirates ont dissimulé un logiciel malveillant dans des outils antivirus en signant des transferts avec des certificats de signature de code valides.
Kevin Bocek ajoute : « Les équipes de sécurité et les développeurs emploient les certificats de code signing de manière radicalement différente. Les développeurs sont principalement préoccupés par le fait d’être ralentis en raison des méthodes et des exigences de leur équipe de sécurité. Cette disparité peut créer des situations chaotiques qui permettent aux cybercriminels de dérober des clés et certificats. Afin d’assurer leur protection comme celle de leurs clients, les entreprises doivent disposer d’une visibilité, d’informations et d’une automatisation complètes sur les clés et les certificats de signature de code qu’elles utilisent. Cette approche exhaustive représente le seul moyen de réduire les risques tout en offrant la vitesse et l’innovation dont les développeurs et les entreprises ont besoin aujourd’hui »
À propos de Venafi
Venafi est un acteur majeur du marché de la sécurité dans le domaine de la protection de l’identité des machines, des connexions et des communications sécurisées entre machines. Venafi protège l’identité des machines en orchestrant la gestion des clés cryptographiques et des certificats numériques pour les usages SSL/TLS, IoT, mobiles et SSH. Venafi fournit une visibilité complète des identités des machines et des risques associés dans l’entreprise au sens large – sur site, mobile, cloud et IoT – à l’échelle et la vitesse d’une machine. Venafi met en œuvre des processus avancés d’automatisation permettant de réduire les menaces pour la sécurité et les indisponibilités de services, liées aux identités faibles, obsolètes ou compromises des machines tout en préservant le flux d’informations à destination de machines fiables et en interdisant la communication avec des machines non fiables.
Titulaire de plus de 30 brevets, Venafi fournit des solutions innovantes aux entreprises du classement Global 5000 les plus exigeantes et sensibilisées à la sécurité, notamment les cinq premières compagnies d’assurance américaines, les cinq premières compagnies aériennes américaines, quatre des plus grandes banques des États-Unis, du Royaume-Uni et d’Afrique du Sud et quatre des cinq acteurs majeurs de la distribution aux États-Unis.