Tour d'horizon de la cybersécurité pour janvier 2022

Le tour d'horizon de ce mois-ci traite de deux cas faisant allusion aux tendances probables auxquelles les agences gouvernementales seront confrontées en matière de cyberattaques. En tant qu'entreprise qui vise à protéger les gouvernements et les organisations privées contre les cyberattaques, nous avons fourni des liens vers des articles complets qui traitent des produits et services que nous proposons et qui renforcent la cybersécurité de toute organisation. Enfin, nous discutons également de deux mises à jour de service que nous proposons à nos clients. Continuer à lire!

 

Les utilisateurs peuvent signer du code avec la capacité de signature de code de validation étendue d'eSigner. Cliquez ci-dessous pour plus d'informations.

EN SAVOIR PLUS

Le comté du Nouveau-Mexique devient la première victime d'un ransomware du gouvernement local en janvier

Le 5 janvier dernier, le comté de Bernalillo, le plus grand comté du Nouveau-Mexique, a été contraint de fermer la plupart de ses bâtiments gouvernementaux en réponse à une attaque de ransomware. 

De nombreux systèmes informatiques du gouvernement du comté ont été déconnectés d'Internet afin de protéger les dossiers et autres fichiers sensibles. Les sites Web du comté étaient également hors ligne.  

Au 14 janvier, les résidents continuaient de ne recevoir aucun service en ce qui concerne le traitement des transactions immobilières, l'inscription des électeurs ou les licences de mariage. 

D’après une Bulletin d'information, "le comté a également déposé un avis d'urgence devant un tribunal fédéral indiquant qu'il n'était pas en mesure de se conformer aux termes d'un règlement impliquant des conditions à la prison du comté parce que l'attaque par ransomware a interrompu l'accès aux caméras de sécurité de la prison. Le non-respect des conditions a placé l'établissement pénitentiaire dans un état de fermeture et a considérablement réduit certains privilèges des détenus, notamment le temps libre passé à l'extérieur et l'accès au téléphone.

La cyberattaque a également affecté les systèmes judiciaires, obligeant les employés à élaborer des plans de secours qui pourraient temporairement permettre des poursuites pénales. 

Fin janvier, Bernalillo ne s'était toujours pas complètement remis de cet incident.

À moins que les agences gouvernementales ne prennent des mesures sérieuses pour améliorer leur cybersécurité, elles continueront d'être exposées à des attaques débilitantes. En 2020, 113 attaques de ransomwares ont été exécutées contre les gouvernements locaux. En 2021, 76 communes ont également reconnu avoir reçu la même attaque.

À retenir de SSL.com : les agences gouvernementales continueront d'être la cible des cybercriminels en 2022. Si vous faites partie d'une agence gouvernementale, la meilleure méthode pour protéger votre site Web, vos données et vos transactions est d'acquérir des PKI prestations de professionnels. Dirigez-vous vers cet article pour lire comment nous aidons les gouvernements à renforcer leur cybersécurité grâce à PKI.

Le ministère de la Défense appelé à sécuriser son Internet of Battlefield Things (IOBT)

Le ministère de la Défense (DOD) a continuellement développé ce qu'on appelle «l'Internet des objets du champ de bataille» (IOBT). Il s'agit de réseaux d'un large éventail d'équipements militaires liés à une technologie intelligente. Ceux-ci incluent des capteurs de champ de bataille, des radios et des armes. 

Bien que l'IOBT augmente les capacités des militaires, il les prédispose également à de nombreux problèmes de cybersécurité. À mesure que de plus en plus d'appareils connectés à Internet sont ajoutés à l'IOBT, les points d'entrée permettant aux pirates de compromettre le réseau augmentent également. Lorsque des informations et des technologies classifiées sont volées par des pirates, cela peut être une situation de vie ou de mort. Par exemple, en 2018, il a été révélé que les trackers de fitness portés par le personnel militaire pouvaient être pénétrés et fuite le mouvement des troupes qui les portent. 

Le ministère de la Défense a répondu aux préoccupations croissantes concernant l'IOBT en créant le système Comply to Connect (C2C). Comme expliqué par Daniel Goure du groupe de réflexion Lexington Institute, C2C comprend quatre fonctions, qui sont : « 1) identifier et valider les nouveaux appareils qui sont connectés à un réseau ; 2) évaluer leur conformité aux politiques de sécurité du DoD ; 3) effectuer une surveillance continue de ces appareils, et ; 4) résoudre automatiquement les problèmes liés aux appareils, réduisant ainsi la nécessité de maintenir une cyber-hygiène pour les administrateurs de la cybersécurité. »

Apparemment, DoD a été deux fois mandat par le Congrès américain pour mettre en œuvre fortement le C2C. Jusqu'à présent, seuls l'US Navy, l'US Marine Corps et plusieurs éléments du DoD se sont conformés à l'ordre, la plupart des sous-branches du département étant à la traîne. 

La croissance continue de l'infrastructure à clé publique (PKI) la technologie dans le secteur privé présente une opportunité urgente pour le DoD de s'associer à des experts de l'industrie lorsqu'il s'agit de sécuriser leur IOBT. Ce partenariat permettra au DoD d'exercer ses fonctions en toute sécurité tout en étant capable de s'adapter à l'évolution des besoins militaires.

À emporter de SSL.com : SSL.com est un allié du gouvernement en matière de cybersécurité. Lire cet article pour découvrir comment nous aidons les agences gouvernementales à protéger leurs systèmes IoT grâce à l'infrastructure à clé publique (PKI) De la technologie.

SSL.com annonce la prise en charge de TLS Pouvoirs délégués

Chez SSL.com, nous annonçons que nous prenons en charge l'utilisation d'informations d'identification déléguées pour tous les clients. L'émission de certificats d'identification délégués peut être effectuée via l'utilisation d'API pour l'automatisation à l'aide du protocole ACME. Étant donné que SSL.com utilise ECDSA pour implémenter le PKI offerts aux clients, les informations d'identification déléguées émises par nos clients ne sont pas vulnérables aux attaques de falsification de signature.

Les identifiants délégués sont des structures de données signées numériquement composées de deux parties : un intervalle de validité et une clé publique (avec son algorithme de signature associé). Ils servent de "procuration » pour les serveurs indiquant qu'ils sont autorisés à résilier le TLS connexion.

Les identifiants délégués sont conçus dans le but d'augmenter la sécurité. Par conséquent, ils possèdent certains traits, tels que définis dans le projet IEFT. Ces caractéristiques comprennent les éléments suivants :

  • La période de validité maximale d'un justificatif délégué est de sept (7) jours pour minimiser l'exposition si la clé privée est compromise. 
  • Les pouvoirs délégués sont lié cryptographiquement au certificat d'entité finale. Plus précisément, la clé privée du certificat d'entité finale est utilisée pour calculer la signature du DC via un algorithme spécifié par les informations d'identification.
  • Les informations d'identification déléguées sont émises par le client, ce qui est beaucoup plus simple que de créer un certificat signé par une autorité de certification. Les certificats émis par le client sont également utiles pour assurer le fonctionnement du service même si l'autorité de certification est en panne.
  • Les pouvoirs délégués ont par définition de courtes périodes de validité. Lors de la définition de la durée de vie des informations d'identification déléguées, les serveurs doivent prendre en compte le décalage de l'horloge client pour éviter le rejet des certificats.
  • Il n'y a pas de mécanisme de révocation pour les pouvoirs délégués. Ils sont rendus invalides une fois la période de validité expirée.
  • Les informations d'identification déléguées sont conçues pour être utilisées dans TLS 1.3 ou plus tard. Il existe une vulnérabilité connue lorsque TLS Les serveurs 1.2 prennent en charge l'échange de clés RSA, permettant la falsification d'une signature RSA sur un message arbitraire.
  • Les organisations peuvent utiliser les API d'émission automatisées existantes comme ACME pour fournir des informations d'identification déléguées.
  • Les informations d'identification déléguées ne peuvent pas être réutilisées dans plusieurs contextes. 

 En savoir plus sur le thème de TLS pouvoirs délégués en cliquant sur ce lien à notre article complet.

SSL.com lance entièrement eSigner CKA

En janvier, SSL.com a publié eSigner CKA - un plug-in Microsoft Crypto Next Generation (CNG) qui permet aux outils Windows tels que certutil.exe et signtool.exe d'utiliser eSigner CSC pour les opérations de signature de code. Il existe cinq avantages identifiés pour les développeurs et les éditeurs de logiciels lors de l'utilisation d'eSigner CKA.

  1. Agit comme un jeton USB virtuel – Seuls les certificats numériques approuvés par Windows s'affichent dans le magasin de certificats. Comme eSigner CKA est un programme développé par SSL.com (un PKI société reconnue par Windows en tant qu'autorité de certification), la confiance lui est également fournie car elle est capable de charger avec succès le certificat de signature de code EV sur le magasin de certificats utilisateur sans aucun problème.  
  2. Peut être utilisé directement sur Windows SignTool - La signature de code EV avec eSigner CKA est si pratique qu'il vous suffit littéralement d'ouvrir SignTool et de saisir la ligne de commande. Si vous préférez recevoir des mots de passe à usage unique sur votre téléphone portable et utiliser une application d'authentification, vous pouvez choisir le mode manuel. Si vous souhaitez signer le code de votre logiciel plus rapidement tout en bénéficiant du même niveau de sécurité élevé et si vous souhaitez contrôler votre clé privée pour la signature, vous pouvez opter pour le mode automatisé.
  3. Interface utilisateur simple et propre - La plate-forme conviviale d'eSigner CKA fait gagner un temps précieux aux éditeurs de logiciels et leur permet de se concentrer sur le travail de développement réel. Installez le programme, sélectionnez votre mode de signature, saisissez vos identifiants de connexion et signez votre code. Toutes ces étapes sont présentées pour vous sur des écrans de fenêtre simples. Installation rapide et exécution encore plus rapide. 
  4. Pas de jetons perdus - eSigner CKA résout la limitation en utilisant des jetons physiques dans le code de signature. Avec ce programme, vous n'avez pas besoin de jetons USB séparés pour réussir la signature de code EV. eSigner CKA est lui-même le « jeton ». Une fois que vous l'avez installé, il vous suffit de récupérer votre certificat EV Code Signing dans le magasin de certificats et vous êtes prêt à signer. Cela signifie que vous n'avez pas à vous soucier d'égarer votre jeton matériel ou d'être bloqué en raison de l'oubli de votre mot de passe et de la consommation de vos tentatives de mot de passe de jeton restantes.   
  5. Prend en charge la signature de code EV dans les environnements CI/CD - eSigner CKA peut être utilisé à distance n'importe où, n'importe quand. Ce programme améliore la sécurité du pipeline DevOps en garantissant que les composants logiciels partagés par les ingénieurs, qui travaillent à différents horaires et emplacements, sont authentifiés avec un certificat SSL.com EV Code Signing. Les pirates ne peuvent donc pas compromettre le processus de construction de votre logiciel, car un fichier malveillant qu'ils tentent d'injecter sera identifié comme n'ayant pas été signé de manière sécurisée.

Téléchargez eSigner CKA en cliquant ici : eSigner CKA (adaptateur de clé cloud) 

Obtenez vos certificats SSL.com EV Code Signing ici

Et cliquez dessus guide sur la façon d'installer et d'utiliser eSigner CKA.

Les utilisateurs peuvent signer du code avec la capacité de signature de code de validation étendue d'eSigner. Cliquez ci-dessous pour plus d'informations.

EN SAVOIR PLUS

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.