Bienvenue dans l'édition d'octobre du Security Roundup de SSL.com! Pour cette édition d'Halloween très spéciale, nous avons gardé notre contenu exactement le même. Après tout, quoi de plus effrayant que les soucis de sécurité numérique et un cryptage défectueux?
Et saviez-vous que SSL.com a maintenant également une newsletter par e-mail? Remplissez le formulaire ci-dessous pour recevoir PKI et des nouvelles de sécurité numérique comme celle-ci, ainsi que des informations sur les produits et services de SSL.com. (Vous pouvez facilement vous désinscrire à tout moment en cliquant sur le vous désabonner lien dans chaque e-mail que nous envoyons.):
Les États-Unis rejoignent six pays dans le cadre d'un nouvel appel pour l'accès au chiffrement par porte dérobée
Une fois de plus, ceux qui sont au pouvoir réclament des prétendues «portes dérobées» au cryptage. Cette fois, selon The Verge, les États-Unis s'associent au Royaume-Uni, à l'Australie, à la Nouvelle-Zélande, au Canada, à l'Inde et au Japon dans une déclaration internationale qui demande l'accès des agences d'application de la loi. Russell Brandom écrit:
Le ministère de la Justice a une longue histoire de plaidoyer anti-cryptage. En 2018, cinq des sept pays participants ont exprimé des doutes similaires dans une note ouverte aux entreprises de technologie, bien que la note n'ait entraîné que peu ou pas de progrès sur la question de la part de l'industrie. À chaque tour, les entreprises de technologie ont insisté sur le fait que toute porte dérobée conçue pour l'application de la loi serait inévitablement ciblée par des criminels et, en fin de compte, laisserait les utilisateurs moins en sécurité ... cryptage de bout en bout utilisé par WhatsApp - mais aussi des données stockées localement comme le contenu d'un téléphone.
Sans surprise, les entreprises technologiques et les défenseurs de la vie privée se sont également prononcés contre cette déclaration. comme d'autres tentatives de contrecarrer le cryptage par les pouvoirs en place.
Android 11 renforce les restrictions sur les certificats CA
Tim Perry rapports dans Android Toolkit qu'Android 11, sorti le 11 septembre, rend «impossible pour toute application, outil de débogage ou action de l'utilisateur d'inviter à installer un certificat CA, même dans le magasin de certificats géré par l'utilisateur non approuvé par défaut. La seule façon d'installer un certificat CA maintenant consiste à utiliser un bouton caché profondément dans les paramètres, sur une page vers laquelle les applications ne peuvent pas se connecter.
Pourquoi est-ce important? Eh bien, même si la gestion de l'autorité de certification doit être soigneusement contrôlée, il existe des raisons potentielles pour que les applications aient accès au choix de celles qui sont fiables. Les développeurs l'utilisent pour les tests, par exemple, et ce changement rend cela beaucoup plus difficile. Pourtant, il est difficile de soutenir que le changement est une perte vu à travers le prisme de la sécurité; applications invitant les utilisateurs à installer certificats racine peut conduire à toutes sortes de problèmes, comme donner accès à des méchants à des sites Web usurpés et décrypter le trafic Internet.
Zoom indique que le chiffrement de bout en bout est prêt
Ce fut une grande année pour Zoom, une entreprise qui a d'abord fait la une des journaux comme un moyen pour nous tous d'être connectés pendant le verrouillage de la pandémie, puis a fait la une des journaux pour permettre à des personnes indésirables de se connecter à tout le monde également, en raison de problèmes de sécurité. Dans un récent mouvement pour améliorer la confidentialité et la sécurité, Zoom a annoncé que sa mise en œuvre du cryptage de bout en bout est prête pour un aperçu.
Bien sûr, comme un article de Simon Sharwood dans The Register souligne, Zoom a affirmé avoir sa propre marque de «cryptage de bout en bout» en avril, mais à ce moment-là, l'application de la société TLS et HTTPS signifiait que Zoom lui-même pouvait intercepter et décrypter les chats - le trafic n'était chiffré que «du point final de Zoom au point final de Zoom». Maintenant, Zoom a annoncé il offrira véritable cryptage de bout en bout, qui ne leur permet pas d'accéder aux chats.
Cependant, comme le note The Register, il y a un problème:
[classe su-note = "info"]À retenir de SSL.com: En tant qu'utilisateurs quotidiens de Zoom, nous applaudissons les améliorations apportées à son bilan irrégulier en matière de sécurité. Cependant, le chiffrement de bout en bout doit être une valeur par défaut plutôt que de devoir être activé à chaque fois. [/ Su_note]Ne pensez pas que l'aperçu signifie que Zoom a réduit la sécurité, car l'entreprise dit: «Pour l'utiliser, les clients doivent activer les réunions E2EE au niveau du compte et s'inscrire à E2EE sur une base par réunion»… Les utilisateurs ayant pour être constamment rappelé d'utiliser des mots de passe non valables, de ne pas cliquer sur le hameçonnage ou de divulguer des données professionnelles sur des appareils personnels, ils choisiront certainement E2EE à chaque fois sans jamais avoir à être invité, n'est-ce pas?
Les navigateurs mobiles populaires et Safari sont vulnérables aux attaques d'usurpation de barre
Dans les mauvaises nouvelles publiées par les chercheurs en cybersécurité, il semble que certaines barres d'adresse de navigateur soient vulnérables à l'usurpation d'identité. Ravie Lakshmanan avec Les nouvelles de Hacker rapporte qu'Apple Safari et les navigateurs mobiles comme Opera Touch et Bolt sont ouverts à l'usurpation d'identité, ce qui laisse les utilisateurs sans méfiance susceptibles de télécharger des logiciels malveillants et attaques de phishing. Lakshmanan écrit:
Le problème provient de l'utilisation de code JavaScript exécutable malveillant dans un site Web arbitraire pour forcer le navigateur à mettre à jour la barre d'adresse pendant que la page est toujours en cours de chargement vers une autre adresse choisie par l'attaquant… (Un attaquant peut créer un site Web malveillant et attirer le cible à ouvrir le lien à partir d'un e-mail ou d'un message texte usurpé, conduisant ainsi un destinataire sans méfiance à télécharger un logiciel malveillant ou risquant de se faire voler ses informations d'identification.
Fin octobre, UCWeb et Bolt n'avaient pas reçu de correctifs, un correctif pour Opera était attendu en novembre et Safari avait résolu le problème via une mise à jour.
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.