La moitié des professionnels de la sécurité craignent que des cybercriminels utilisent des certificats de code signing pour pirater leur entreprise
Venafi®, leader de la protection des identités machine, a dévoilé aujourd’hui les résultats d’une étude menée auprès de 320 professionnels en sécurité informatique aux Etats-Unis, au Canada et en Europe, sur leurs pratiques de sécurité liées aux certificats de code signing. Elle révèle qu’à peine 28 % des entreprises mettent systématiquement en œuvre un processus de sécurité défini portant sur les certificats de code signing.
« Lorsque des attaquants mettent la main sur les clés et les certificats de code signing qui servent aux identités machine, ils peuvent engendrer d’énormes dommages », indique Kevin Bocek, vice-président du département de sécurité et d’analyse des menaces de Venafi. « Les processus de code signing sécurisées activent les applictaions, les mises à jour, et les logiciels open source pour fonctionner correctement, mais s’ils ne sont pas protégés les hackers peuvent en faire des armes informatiques puissantes. Les certificats de code signing comptent par exemple parmi les outils ayant contribué au succès de Stuxnet et ShadowHammer. En réalité, toutes les entreprises exercent des activités de développement logiciel, qu’il s’agisse des banques, des distributeurs ou des fabricants. Si vous créez du code, deployez des containers ou travaillez en mode cloud, vous devez vous pencher sérieusement sur la sécurité du processus de signature afin de protéger votre entreprise« .
L’étude Venafi a établi que même si les professionnels de la sécurité comprennent les risques liés aux certificats du code signing, ils ne mettent pas en œuvre les mesures nécessaires à leur protection.
Les principales conclusions sont les suivantes :
- 50 %des personnes interrogées craignent que des cybercriminels nuisent à la sécurité de leur entreprise au moyen de certificats de signature de code contrefaits ou dérobés.
- À l’échelle mondiale, seules 29 % des entreprises appliquent systématiquement des politiques de sécurité de signature de code. Ce problème est néanmoins plus marqué en Europe, où cette proportion chute à 14 %.
- 35 %des répondants indiquent que le propriétaire des clés privées employées par les processus de code signing de leur entreprise n’est pas clairement établi.
- 69 %prévoient que leur usage de certificats de code signing s’intensifiera l’année prochaine.
Les certificats de code signing servent à sécuriser et assurer l’authenticité des mises à jour de nombreux produits logiciels, notamment les microprogrammes, les systèmes d’exploitation, les applications mobiles et les images de lecteur d’applications. Cependant, plus de 25 millions de fichiers binaires malveillants sont dotés d’un certificat de signature de code, qui est employé par les cybercriminels lors de leurs attaques. À titre d’exemple,des chercheurs en sécurité ont découvert que des pirates ont dissimulé un logiciel malveillant dans des outils antivirus en signant des transferts avec des certificats de signature de code valides.
Kevin Bocek ajoute : « Les équipes de sécurité et les développeurs emploient les certificats de code signing de manière radicalement différente. Les développeurs sont principalement préoccupés par le fait d’être ralentis en raison des méthodes et des exigences de leur équipe de sécurité. Cette disparité peut créer des situations chaotiques qui permettent aux cybercriminels de dérober des clés et certificats. Afin d’assurer leur protection comme celle de leurs clients, les entreprises doivent disposer d’une visibilité, d’informations et d’une automatisation complètes sur les clés et les certificats de signature de code qu’elles utilisent. Cette approche exhaustive représente le seul moyen de réduire les risques tout en offrant la vitesse et l’innovation dont les développeurs et les entreprises ont besoin aujourd’hui »