En janvier, Amazon Web Services (AWS), division du géant du commerce électronique spécialisée dans les services cloud, lançait AWS Certificate Manager (ACM). Cette initiative faisait suite à un constat : l’allocation, l’installation et la gestion des certificats SSL/TLS, généralement utilisés avec Amazon Web Services pour le chiffrement et la sécurisation des transactions, prennent énormément de temps, entravant l’utilisation des instances cloud AWS.
ACM simplifie la gestion des certificats SSL/TLS, qui sont directement émis par l’autorité de certification (AC) d’Amazon et Amazon Trust Services (ATS). En proposant ce service, Amazon saute le pas pour investir le marché des autorités de certification. Si, pour l’heure, ce service est uniquement disponible aux États-Unis, Amazon s’oriente vers un déploiement à l’échelle mondiale.
ACM se révèle idéal pour les entreprises soucieuses de chiffrer et de sécuriser en un clin d’œil leurs transactions en présence de répartiteurs de charge (ELC) et/ou de distributions CloudFront (CF) ; mieux : tout certificat émis par ACM est entièrement gratuit, tendance en passe de devenir la règle sur un marché qui s’achemine vers le chiffrement intégral de l’ensemble du trafic regroupant transactions et communications.
À la différence des autorités de certification classiques, Amazon ACM n’a pas pour objectif de faire directement concurrence à d’autres autorités de certification. La vente de certificats ne s’inscrit pas au cœur de ce service. Il s’agit, en l’occurrence, d’ajouter à AWS une couche de sécurité significative, en un clin d’œil et facilement. Ce service se révèle intéressant dans l’univers orienté cloud au sein duquel nous évoluons, et il est probable que toutes les AC n’auront prochainement d’autre choix que d’adopter le modèle de gratuité de certificat et de proposer gracieusement des certificats à validation de domaine (DV).
Le chiffrement gratuit ne sécurise ni vos clés, ni vos certificats
Lorsqu’Amazon ACM procède à l’émission de certificats, les clés privées correspondantes sont stockées dans le cloud. Une entreprise s’expose à un énorme risque à chaque fois qu’elle stocke une clé privée autrement que sur un module HSM. Ce risque s’aggravant dès lors que la clé en question est stockée à distance de son site, l’utilisation du cloud à cette fin lui fait courir toutes sortes de dangers. De fait, Amazon ACM fait confiance à quiconque assure l’émission et le stockage de ses clés privées de manière à garantir que vous seul puissiez y accéder.
La sécurisation des clés dans le cloud est précisément ce que guettent les acteurs malveillants (i.e. hacktivistes et employés mécontents) qui espèrent que l’entreprise se laissera prendre à ce piège leur permettant de dérober bien plus facilement des clés.
À partir du moment où une clé est compromise, l’acteur malveillant prend le dessus : il peut vendre celle-ci sur le darknet ou s’en servir pour chiffrer et dissimuler ses agissements sur le réseau de l’entreprise. Plus le nombre de certificats gratuits émis est élevé, plus la sécurité de l’Internet est menacée. À partir du moment où les clés et certificats sont compromis plus fréquemment, les acteurs malveillants mettront toujours plus à profit les « angles morts » d’un chiffrement digne de confiance en matière de sécurité, pour mieux dissimuler leurs attaques.
Amazon ACM ne sécurise pas le chiffrement, ni ne renforce le dispositif de sécurité d’une entreprise
La simplification du chiffrement procurée par les services Amazon AWS est un remarquable avantage, mais qui s’effectue aux dépens de la sécurité. Le stockage dans le cloud Amazon AWS de la totalité des clés et certificats émis par ACM facilite leur émission et leur gestion mais, répétons-le, comporte également un risque significatif — il suffit, pour cela, qu’un acteur malveillant accède à un environnement AWS. Ensuite, en manœuvrant habilement, celui-ci a tout loisir d’émettre ses propres clés et certificats. Avec ces clés et certificats falsifiés, l’acteur malveillant disposerait d’un canal crypté propice à la dissimulation de ses activités.
Autre risque majeur : si l’autorité de certification d’Amazon est détournée, il n’existe aucun moyen rapide de révoquer des clés et certificats compromis. (Amazon préconise la création d’un dossier d’incident.) Tout comme il n’existe aucun moyen d’automatiser le basculement vers une deuxième AC, conformément aux recommandations du NIST. En résumé, Amazon ACM n’assure aucunement la sécurité des clés et certificats émis : il se contente de simplifier leur gestion.
L’objectif poursuivi par Amazon ACM ne consiste ni à sécuriser les certificats, ni à rivaliser avec les autorités de certification en place. Ce service entend simplement accroître l’agilité en facilitant l’acquisition et le déploiement du chiffrement dans le cloud AWS. Malheureusement, côté gestion, il laisse également à désirer.
ACM n’offre, en effet, à ses utilisateurs aucune visibilité sur les certificats émis par une autre autorité de certification, et n’est, au moment où cet article est rédigé, compatible avec aucun autre service, à l’exception d’AWS Elastic Load Balancing ou d’Amazon CloudFront. Il impose, par ailleurs, des restrictions significatives en termes de cycle de vie ; tous les certificats émis sont valables 13 mois, et leur reconduction s’opère automatiquement, en l’absence de contrôle ou de notification. Amazon oblige même ses utilisateurs à ouvrir une demande d’assistance s’ils souhaitent se retirer du service. Détail inquiétant, les utilisateurs d’ACM n’auront aucun moyen de repérer ou de recenser les certificats inconnus, ni d’élaborer et de mettre en œuvre des règles de gestion applicables aux certificats. Eu égard à la quantité de clés et de certificats stockés dans le cloud AWS, les perspectives offertes aux acteurs malveillants s’avèrent donc réjouissantes. Cela ne signifie pas que les entreprises devraient s’abstenir d’utiliser Amazon ACM. Puisqu’elles s’en remettent à AWS pour disposer de ressources informatiques en mode cloud conjuguant rapidité et élasticité, il est important qu’elles soient en mesure de chiffrer et de sécuriser en un clin d’œil leurs transactions. Pour autant, elles doivent comprendre qu’ACM seul n’offre pas une sécurité suffisante pour leurs clés et certificats, qui risquent d’être détournés à des fins d’intrusion et de compromission.
Les spécialistes en certificats l’ont observé, ce n’est qu’une question de temps avant que des cybercriminels n’utilisent ces certificats AWS gratuits pour se dissimuler dans un trafic chiffré, au sein duquel ils pourraient passer inaperçus alors qu’ils dérobent des données confidentielles. En définitive, si les certificats AWS peuvent se révéler intéressants pour créer des applications en un clin d’œil, ils sont bien incapables d’offrir une véritable sécurité de classe entreprise aux acteurs du classement Global 5000.