Bienvenue dans cette édition de mars du Security Roundup de SSL.com! Les choses ont beaucoup changé au cours du mois dernier, comme nous le savons tous, mais avec plus de temps passé en ligne, il y a beaucoup de nouvelles sur SSL /TLS, les certificats numériques et la sécurité du réseau. Ce mois-ci, nous couvrirons:
Restez à la maison, restez en sécurité
Alors que la pandémie de COVID-19 se poursuit à travers le pays, tout le monde travaille ensemble pour ralentir la propagation du virus en prenant ses distances physiques et en restant autant que possible à la maison. Pour beaucoup, cela signifie travailler à domicile. Étant donné que cela pourrait être une nouvelle situation pour beaucoup, nous avons écrit quelques guides pour vous assurer que tout le monde est aussi en sécurité en ligne et éviter les escroqueries en ligne qui ont surgi.
Ce mois-ci, Krebs on Security a remarqué que certains sites gouvernementaux ne donnaient même pas les meilleurs conseils en matière de fraude en ligne, ce qui est alarmant. Heureusement, nos guides sont beaucoup plus informatifs. Ce mois-ci, nous avons mis en garde contre les escroqueries opportunistes qui en proie aux craintes de COVID-19 dans l'espoir que vous abandonniez volontairement vos précieuses informations:
Entre autres, Dan Goodin chez Ars Technica a rapporté sur les escrocs se faisant passer pour du personnel universitaire et l'Organisation mondiale de la santé, et Kaspersky Lab fournit détails de deux campagnes de phishing se faisant passer pour les Centers for Disease Control and Prevention des États-Unis… Les e-mails de ce type sont destinés à duper les destinataires en leur faisant révéler des informations personnelles sensibles (telles que des mots de passe et des numéros de carte de crédit) et / ou en installant des logiciels malveillants sur leur appareil. Par exemple, un message peut sembler provenir d'un employeur ou d'un responsable scolaire, mais contenir un lien vers une fausse page Web avec un formulaire qui recueille les informations de connexion.
En plus de cet article très opportun, nous vous recommandons de consulter notre guide plus général de identifier les escroqueries par phishing et notre article qui explique comment tout le monde peut savoir si un site Web est géré par une entreprise légitime.
Chrome passe de 81 à 83
La pandémie de COVID-19 fait des ravages dans toutes les industries, et les logiciels ne sont même pas près d'exempter. (Plus tôt ce mois-ci, des préoccupations concernant les tests de logiciels retardé le lancement du Mars Rover jusqu'en 2022, pour l'amour de Pete.) En fait, la pandémie a provoqué abandonner la version 82 de Chrome et passez directement à 83. La modification affecte tous les navigateurs basés sur Chromium, ce qui signifie que les nouvelles versions du navigateur Edge de Microsoft sont également suspendues. Les navigateurs Opera, Brave, Vivaldi et Samsung seront également affectés. Comme Stephen Shanklin chez Cnet note:
Le nouveau coronavirus et l'infection COVID-19 qu'il provoque ont martelé les entreprises, en particulier celles qui dépendent de la navigation, des usines et d'autres ressources du monde réel touchées par les verrouillages pour ralentir la propagation du virus. L'annonce de Google montre que même les personnes qui utilisent uniquement des ordinateurs pour gagner leur vie sont également touchées. C'est parce que les écoles fermées, le télétravail et d'autres facteurs affectent les personnes dont les emplois sont déjà principalement virtuels.
Jetez un œil à CRLite
Enfin, nous aimerions vous présenter CRLite, si vous ne l'avez pas déjà rencontré. CRLite est une norme nouvellement proposée qui enverrait des informations sur TOUS les SSL /TLS certificats directement aux navigateurs. Jusqu'à présent, la révocation n'était pas vraiment fiable, comme nous l'avons expliqué dans nos articles sur la façon dont les navigateurs ont traité des certificats révoqués à ce jour, et le OCSP (Online Certificate Status Protocol). CRLite a le potentiel de transformer un problème qui, jusqu'à présent, n'avait que des «solutions» peu fiables et encombrantes, en intégrant des informations sur les certificats révoqués directement dans les navigateurs. Pour un aperçu concis de CRLite, nous vous recommandons de consulter Blog de sécurité de Mozilla au sein de l’ FAQ GitHub. De l'intro de Mozilla:
CRLite est une technologie proposée par un groupe de chercheurs au Symposium IEEE sur la sécurité et la confidentialité 2017 qui comprime les informations de révocation si efficacement que 300 mégaoctets de données de révocation peuvent devenir 1 mégaoctet. Il y parvient en combinant les données de transparence des certificats et les résultats de l'analyse Internet avec des filtres Bloom en cascade, créant une structure de données fiable, facile à vérifier et facile à mettre à jour.
