Résumé de la sécurité de novembre 2020

Le tour d'horizon de la sécurité de septembre 2020 comprend ACME de SSL.com, une facture de cybersécurité IoT, le mode HTTPS uniquement dans Firefox et les problèmes de confidentialité de macOS.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Les vacances sont là, d'une manière ou d'une autre, tout comme la newsletter SSL.com de novembre. Cette année, la préparation des fêtes peut sembler plus difficile que jamais. Il peut même sembler que garder le contrôle de votre sécurité Internet est une tâche trop ardue à relever. Nous sommes ici pour vous dire que ce type de pensée est absurde - regardez tout ce qui s'est passé le mois dernier!

SSL.com prend en charge le protocole ACME

Logo ACME

Le 13 novembre, SSL.com annoncé prise en charge du protocole ACME. Désormais, nos clients peuvent facilement profiter de ce SSL /TLS outil d'automatisation.

Initialement développé le groupe de recherche sur la sécurité Internet et publié en tant que norme Internet dans RFC 8555, ACME simplifie le renouvellement et le remplacement de SSL /TLS certificats. Cela permet aux propriétaires de sites Web de rester plus facilement à jour avec les certificats sur leurs sites.

Vous pouvez en savoir plus sur les avantages de la mise en œuvre ACME de SSL.com dans notre blog récents annonçant le lancement. Lorsque vous êtes prêt à commencer, consultez notre guide à la délivrance et à la révocation des certificats avec l'ACME, et notre comment faire sur l'automatisation ACME pour les plates-formes serveur Apache et Nginx.

À retenir de SSL.com: Nous sommes ravis d'offrir ce protocole populaire à nos clients et espérons que vous l'essayerez bientôt!

Le Congrès approuve le projet de loi sur la cybersécurité IoT

Adopté par le Congrès américain le 17 novembre 2020 et se rendant à la Maison Blanche pour la signature du président, le Loi sur l'amélioration de la cybersécurité de l'Internet des objets "Exige que l'Institut national des normes et de la technologie (NIST) et le Bureau de la gestion et du budget (OMB) prennent des mesures spécifiques pour accroître la cybersécurité des appareils de l'Internet des objets (IoT)."

In un article sur Message de menace, Lindsey O'Donnell explique que la mesure fédérale est conçue pour mettre fin aux problèmes de sécurité et de confidentialité qui préoccupent depuis longtemps les appareils IoT, et ce d'une manière qui s'aligne sur les normes et les meilleures pratiques existantes de l'industrie. Elle écrit:

La loi sur l'amélioration de la cybersécurité de l'IoT comprend plusieurs parties. Premièrement, il exige que (l'Institut national des normes et de la technologie) émette des directives basées sur des normes pour la sécurité minimale des appareils IoT qui appartiennent au gouvernement fédéral. Le Bureau de la gestion et du budget (OMB) doit également mettre en œuvre les exigences pour les agences civiles fédérales d'avoir des politiques de sécurité de l'information qui sont conformes à ces directives du NIST.
En vertu de la loi, les agences fédérales doivent également mettre en œuvre une politique de divulgation des vulnérabilités pour les appareils IoT, et elles ne peuvent pas se procurer des appareils qui ne respectent pas les directives de sécurité.

O'Donnell rapporte en outre que l'effort de réglementation de l'IoT continue d'être un effort mondial, avec des recommandations de sécurité de l'Agence de l'Union européenne pour la sécurité des réseaux et de l'information et des promesses du Royaume-Uni d'émettre des exigences pour les mots de passe et les mises à jour de sécurité.

À retenir de SSL.com: Compte tenu des nombreux problèmes de sécurité récents avec les appareils «intelligents» et de leur prolifération rapide sur le marché, nous sommes heureux de voir le Congrès américain faire un pas dans la bonne direction pour établir des normes de sécurité IoT et les meilleures pratiques pour le gouvernement fédéral.

Mode HTTPS uniquement proposé dans Firefox 83

Firefox 83 de Mozilla, sorti le 17 novembre, offre aux utilisateurs un Mode HTTPS uniquement. En l'activant, le navigateur recherchera automatiquement les connexions HTTPS et demandera l'autorisation avant de passer à un site qui ne prend pas en charge les connexions sécurisées. Comme Mozilla blog récents nous rappelle que le protocole HTTP standard est visible par ceux qui cherchent à voler ou à falsifier des données. HTTP sur TLS, ou HTTPS, corrige ce problème en créant une connexion cryptée entre votre navigateur et le site Web que vous visitez, que les attaquants potentiels ne peuvent pas lire. 

Bien que la plupart des sites prennent actuellement en charge HTTPS, certains sites utilisent toujours HTTP. Ou, parfois, une version HTTP non sécurisée d'un site Web est celle stockée dans vos signets ou accessible via des liens hérités, et peut être la version par défaut sans l'aide d'un navigateur qui donne la priorité aux connexions HTTPS sécurisées.

Comme le blog Mozilla Explique, l'activation du nouveau mode est maintenant facile:

Si vous souhaitez essayer cette nouvelle fonctionnalité d'amélioration de la sécurité, l'activation du mode HTTPS uniquement est simple:

  1. Cliquez sur le bouton de menu de Firefox et choisissez «Préférences».
  2. Sélectionnez «Confidentialité et sécurité» et faites défiler jusqu'à la section «Mode HTTPS uniquement».
  3. Choisissez «Activer le mode HTTPS uniquement dans toutes les fenêtres».
À retenir de SSL.com: Nous pensons chaque Le site Web doit être uniquement HTTPS. Jusque-là, le mode HTTPS uniquement est un moyen facile pour les utilisateurs de Firefox de s'assurer qu'ils utilisent HTTPS chaque fois que possible.

La gestion par Apple des demandes OCSP soulève des problèmes de confidentialité

Ce mois-ci, quelques personnes ont sonné l'alarme à propos de Big Sur après que des problèmes de serveur ont révélé qu'Apple suivait et révélait beaucoup de choses sur ses utilisateurs lors de la vérification du code d'application signé. Essentiellement, le code de vérification de certificat envoyait «l'empreinte numérique» d'un développeur via HTTP en texte brut chaque fois qu'une application était lancée. Qu'est-ce que ça veut dire? Thomas Claburn de Le registre le met assez succinctement: "Apple ainsi que toute personne qui écoute le chemin du réseau peut au moins vous relier par votre adresse IP publique aux types d'applications que vous utilisez."

À la suite de la publication de ces informations, Apple a promis de ne plus enregistrer les adresses IP. Aussi de Le registre article:

Pour protéger davantage la confidentialité, nous avons cessé de consigner les adresses IP associées aux vérifications des certificats ID développeur, et nous veillerons à ce que toutes les adresses IP collectées soient supprimées des journaux », a déclaré Apple.

Le titan de la Silicon Valley a également déclaré qu'il prévoyait de mettre en œuvre un protocole crypté pour les vérifications de révocation des certificats d'identification des développeurs, de prendre des mesures pour rendre ses serveurs plus résilients et de fournir aux utilisateurs un mécanisme de désinscription. Le registre comprend que les contrôles de certificats sont signés de manière cryptographique par Apple, ils ne peuvent donc pas être falsifiés en transit sans détection, bien qu'ils puissent être observés, et donc maintenant, Apple enveloppera ce canal de communication dans le cryptage pour le protéger des regards indiscrets.

De plus, Apple a cessé d'autoriser les applications tierces telles que les pare-feu et les VPN à bloquer ou surveiller le trafic de ses propres applications et processus du système d'exploitation vers les serveurs d'Apple à Big Sur. C'est un problème pour ceux qui souhaitent analyser de manière exhaustive leur trafic réseau ou qui ne veulent tout simplement pas que leur trafic soit acheminé vers les serveurs Apple.

Bien que l'article du registre ait un ton solennel, il est assez mesuré. Pour une interprétation de fin de journée plus passionnée, Jeffery Paul décompose également les implications sécuritaires sur son blog.

À retenir de SSL.com: En essayant de protéger ses propres utilisateurs contre les logiciels malveillants, Apple peut avoir excessivement compromis leur vie privée. Nous pensons que le logiciel que vous exécutez et auquel votre ordinateur se connecte devraient être votre propre entreprise, et espérons qu'Apple prendra des mesures efficaces pour redonner ce contrôle aux utilisateurs.

 

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.