Bienvenue dans l'édition de mai du SSL.com Résumé de la sécurité, dans lequel nous revenons sur le mois dernier dans le domaine de la sécurité numérique. Poursuivez votre lecture pour découvrir ce que nous avons trouvé le plus important au cours des 30 derniers jours et restez en sécurité en ligne!
Nouvelle taille de clé RSA minimale pour les certificats de signature de code
Dans un peu de nos propres nouvelles, à partir du 31 mai 2021, les certificats de signature de code et de signature de code EV de SSL.com nécessitent une taille de clé RSA minimale de 3072 bits. Les certificats émis avant cette date ne sont pas affectés par le changement et fonctionneront comme d'habitude jusqu'à leur expiration. Nous avons tout présenté pour vous dans un blog sur le sujet.
Le décret exécutif de Biden appelle à une `` architecture de confiance zéro ''
Dans une commande exécutive signé le 12 mai, le président américain Joe Biden a officiellement appelé le gouvernement fédéral à adopter une «architecture de confiance zéro». Qu'est-ce que ça veut dire? Essentiellement, la directive tente d'obtenir une confiance mal placée dans les personnes, les logiciels et le matériel, qui est à la base de nombreuses failles de sécurité qui ont rendu tout le monde vulnérable aux attaques. Comme Scott Shackelford rapports pour Slate, la menace mondiale croissante de ransomware a frappé au moins 2,354 XNUMX fois, ciblant tout le monde, des gouvernements locaux et des écoles aux prestataires de soins de santé. L'ordre de Biden demande à ces institutions d'adopter une position plus paranoïaque et de supposer que le danger se trouve à chaque coin de rue – et même dans la maison que l'on cherche à protéger. Extrait du rapport Slate :
La confiance dans le contexte des réseaux informatiques se réfère à des systèmes qui permettent à des personnes ou à d'autres ordinateurs d'accéder avec peu ou pas de vérification de qui ils sont et s'ils sont autorisés à y accéder. Zero Trust est un modèle de sécurité qui tient pour acquis que les menaces sont omniprésentes à l'intérieur et à l'extérieur des réseaux. La confiance zéro repose plutôt sur une vérification continue via des informations provenant de plusieurs sources. Ce faisant, cette approche suppose l'inévitabilité d'une violation de données. Au lieu de se concentrer exclusivement sur la prévention des violations, la sécurité zéro confiance garantit plutôt que les dommages sont limités et que le système est résilient et peut rapidement se rétablir.
Tout cela est très sensé, et pourtant, il existe des obstacles à la mise en œuvre à grande échelle d'un modèle de confiance zéro. Il peut être difficile de mettre en œuvre le nouveau modèle dans les systèmes hérités et, même lorsque cela est possible, c'est souvent coûteux. Le modèle va également à l'encontre de certains systèmes largement utilisés. Cependant, le décret - qui ne s'applique qu'aux systèmes gouvernementaux - est un pas dans la direction de la sécurité et promet de rendre ces systèmes plus sûrs dans l'ensemble.
`` Un truc étrange '' pour déjouer les pirates russes
Dans une bizarrerie de technologie, Krebs sur les notes de sécurité autant de logiciels malveillants ne seront pas installés sur les ordinateurs sur lesquels certains claviers virtuels sont installés, y compris les claviers russes et ukrainiens. Dans une discussion sur Twitter, puis dans un article de blog, l'expert en sécurité a expliqué que la grande majorité des souches de ransomwares ont une sécurité intégrée pour garantir que les logiciels malveillants n'infectent pas les siens. Du blog:
DarkSide et d'autres programmes lucratifs d'affiliation en langue russe ont longtemps empêché leurs associés criminels d'installer des logiciels malveillants sur des ordinateurs dans une multitude de pays d'Europe de l'Est, notamment l'Ukraine et la Russie. Cette interdiction remonte aux premiers jours de la cybercriminalité organisée et vise à minimiser le contrôle et l'ingérence des autorités locales.
Apparemment, en Russie, les autorités hésitent à ouvrir une enquête sur la cybercriminalité contre des ressortissants russes à moins qu'un compatriote n'introduise la plainte. De telles sécurités sont donc un moyen pratique d'éviter la chaleur.
Cloudflare veut se débarrasser des captchas
Le mois dernier a vu de bonnes nouvelles pour ceux qui en ont assez des ordinateurs leur demandant de prouver qu'ils ne sont pas non plus des machines. Dans un titre irrésistible Article de blog Cloudflare, Thibault Meunier déclare: «L'humanité gaspille environ 500 ans par jour sur les CAPTCHA. Il est temps de mettre fin à cette folie. L'article poursuit en expliquant que Cloudflare veut remplacer les CAPTCHA omniprésents et ennuyeux par une nouvelle méthode impliquant des clés de sécurité matérielles, telles que les clés FIPS Yubikey que SSL.com distribue. Signature de code EV et signature de documents certificats sur.
Du point de vue de l'utilisateur, une attestation cryptographique de personnalité fonctionne comme suit:
- L'utilisateur accède à un site Web protégé par une attestation cryptographique de personnalité, tel que cloudflarechallenge.com.
- Cloudflare relève un défi.
- L'utilisateur clique sur Je suis humain (version bêta) et est invité à indiquer un dispositif de sécurité.
- L'utilisateur décide d'utiliser une clé de sécurité matérielle.
- L'utilisateur branche l'appareil sur son ordinateur ou l'appuie sur son téléphone pour une signature sans fil (à l'aide de NFC).
- Une attestation cryptographique est envoyée à Cloudflare, ce qui permet à l'utilisateur d'entrer après vérification de la test de présence utilisateur.
Au lieu de «500 ans», la réalisation de ce flux prend cinq secondes. Plus important encore, ce défi protège la confidentialité des utilisateurs puisque l'attestation n'est pas uniquement liée à l'appareil de l'utilisateur.
Des milliers d'extensions Chrome altèrent les en-têtes de sécurité
A nouvelle étude a constaté que de nombreuses extensions Chrome altéraient les en-têtes de sécurité des sites Web, mettant ainsi les utilisateurs en danger. Comme Rapports de Catalin Cimpanu en L'enregistrement, les extensions, qui se trouvent toutes dans le Chrome Web Store, ne le font pas toutes avec de mauvaises intentions:
L'en-tête de sécurité le plus souvent désactivé était CSP, un en-tête de sécurité développé pour permettre aux propriétaires de sites de contrôler les ressources Web qu'une page est autorisée à charger dans un navigateur et une défense typique qui peut protéger les sites Web et les navigateurs contre les attaques XSS et par injection de données.
Selon l'équipe de recherche, dans la plupart des cas analysés, les extensions Chrome désactivaient le CSP et d'autres en-têtes de sécurité «pour introduire des fonctionnalités supplémentaires apparemment bénignes sur la page Web visitée» et ne semblaient pas être de nature malveillante.
Cependant, même si les extensions voulaient enrichir l'expérience d'un utilisateur en ligne, les universitaires allemands ont fait valoir qu'en falsifiant les en-têtes de sécurité, toutes les extensions permettaient d'exposer les utilisateurs à des attaques provenant d'autres scripts et sites s'exécutant dans le navigateur et sur le Web.
