Pour Kevin Bocek, Venafi, la cryptographie nous protège des criminels

Kevin Bocek, vice président stratégie de sécurité et renseignement sur les menaces de Venafi, n’est pas un nouveau venu de l’industrie de la sécurité IT. Il est notamment passé chez RSA, PGP, Thales, IronKey et CipherCloud. Spécialiste de la gestion des clés et des certificats, Venafi s’installe en Europe avec, notamment, l’ouverture d’un bureau à Paris. A cette occasion, Kevin Bocek a accepté de répondre aux questions de la rédaction.

LeMagIT : en avril dernier, vous avez montré qu’une part très importante des systèmes exposés en ligne par les plus grands groupes étaient encore affectés par Heartbleed. Comment expliquez-vous cette situation ?

Kevin Brocek : Les correctifs ont été déployés sur une large majorité de systèmes. Mais le réel problème tient au non renouvellement des certificats, avec de nouvelles clés, et à la non révocation des anciens certificats, potentiellement compromis. Et plus l’entreprise est grande, plus la chance que la vulnérabilité Heartbleed n’ait pas été intégralement remédiée l’est aussi. L’étendue du problème crée un tel chaos qu’il n’est pas possible de réussir complètement sans une gestion industrialisée des clés et des certificats.

Alors on aboutit à une situation où soit les gens ne savent pas ce qu’il reste à faire, ou ils ont laissé tombé en se disant : « c’est un problème avec lequel on va devoir vivre ». Et c’est un problème avec lequel nous devrons vivre pendant très très longtemps.

Car les organisations ne comprennent généralement pas qu’elles ont besoin de remplacer leurs clés. Elles continuent d’utiliser les mêmes clés d’année en année.  Certaines entreprises ont des politiques pour le renouvellement régulier des mots de passe, tous les 60 ou 90 jours. Ce n’est généralement pas le cas pour les clés de chiffrement, faute de conscience ou de contrôles techniques à cette fin.

En août dernier, vous avez sondé des participants à la conférence Black Hat. Mais malgré l’expertise élevée que l’on peut attendre de cette audience, la gestion des clés et des certificats ne semble pas d’une grande maturité.

La gestion des clés et des certificats a été et reste un domaine de grande complexité technique. D’ailleurs, lorsque l’on a découvert les malversations de l’autorité de certification chinoise CNNIC, la plupart des professionnels n’ont rien fait.

En fait, la plupart n’ont aucune idée du nombre d’autorités de certification bénéficiant de la confiance de leur navigateur web. Il y a en plus de 240 dans iOS. Les personnes sondées lors de Black Hat estimaient en moyenne ce chiffre à… deux.

Très peu de personnes, dans une audience effectivement très technique, disposent en définitive de capacités d’automatisation de la gestion des clés et des certificats. Même les meilleurs professionnels ont une compréhension limitée de ce qui crée la confiance sur Internet.

Avec l’Internet des objets, le rôle de cryptographie se trouve renforcé. Mais peut-on raisonnablement espérer parvenir à maîtriser la gestion des clés et des certificats dans un monde marqué par une informatique embarquée qui ne sera probablement jamais mise à jour ?

La réponse simple est que l’on va avoir des problèmes. Et l’on risque d’avoir de très gros problèmes. On peut d’ailleurs déjà en voir un exemple. Wink, cet objet connecté pour la maison sécurise ses communications. Las, le certificat établissant la confiance a expiré. Que se passe-t-il dans ce cas ? L’appareil cesse de fonctionner. On a donc observé là un constructeur incapable de suivre les dates d’expiration de ses certifications.

Et que fait-on avec un objet connecté qui cesse de fonctionner parce qu’un certificat a expiré ? On ne peut pas le mettre à jour via le Cloud. Dans ce cas particulier, il a fallu renvoyer les appareils au constructeur. Imaginez ce que cela pourrait donner avec une voiture, un moteur à réaction, ou encore un composant de système de contrôle industriel.

Ce qui est également préoccupant, c’est ce que pourrait se passer si un acteur malicieux est impliqué. Il pourrait envoyer de fausses commandes, pour perturber le fonctionnement ou provoquer la destruction de l’appareil, ou bien, et c’est ce qui m’inquiète le plus, prendre des appareils en otage et demander une rançon.

Et ces scénarios ne sont pas tirés par les cheveux : on sait que des certificats se font voler. Intel Security recense plus de 20 millions de logiciels malveillants exploitant des certificats. Et le plus célèbre est bien sûr Stuxnet.

LeMagIT : Vous soulignez l’importance de la cryptographie à l’heure de l’Internet des objets, notamment contre le risque de cyberterrorisme. Il est assez ironique qu’en parallèle, des autorités demandent l’affaiblissement de ces technologies sous prétexte de lutter aussi contre le terrorisme…

En effet… Je pense que les appels à des portes dérobées, ou encore à la mise sous séquestre de clés de chiffrement, sont mal inspirés. Je l’ai vu moi-même à la fin des années 1990 lorsqu’il s’agissait d’exporter des outils de chiffrement : il fallait avoir l’aval du gouvernement américain pour vendre de tels produits ne serait-ce qu’à des banques allemandes. Pensez-vous que des terroristes demanderaient la permission ? Bien sûr que non.

Encore fois, ces appels sont mal inspirés. Je crois que les politiciens et les autorités concernés cherchent des moyens de protéger la société, mais [les pistes qui touchent au chiffrement] ne sont soit pas techniquement faisables, soit pas souhaitables y compris pour nos libertés et nos activités commerciales. Chaque individu, chaque entreprise, a le droit à des communications authentifiées, sûres et privées.

Le point faible du chiffrement, aujourd’hui, c’est le vol des clés. Et dans le domaine de la protection de nos sociétés, lorsque c’est nécessaire, c’est ça le travail des agences du renseignement. Et ces agences sont capables d’être très douées pour cela.

On devrait toujours évoquer chiffrement et authentification sous l’angle de notre protection contre les criminels et les terroristes. Les méchants, eux, se moquent de nos interdits.