Accueil High-Tech Fermeture: les sites gouvernementaux avec des certificats de sécurité périmés posent un risque

Fermeture: les sites gouvernementaux avec des certificats de sécurité périmés posent un risque

0
0

Patra Kongsirimongkolchai / Getty Images

La fermeture du gouvernement, qui en est à sa 22e journée, semble avoir des répercussions sur la sécurité des sites Web fédéraux.

Netcraft, une société de sécurité Web basée au Royaume-Uni, a découvert des dizaines de sites Web du gouvernement américain dotés de certificats de sécurité expirés, ce qui pourrait mettre les visiteurs en danger.

Les sites Web concernés vont de celui du ministère de la Justice au site de la NASA, a déclaré Netcraft. Certains des sites sont des portails de paiement, mettant potentiellement en péril les informations personnelles des visiteurs, a déclaré la société, bien que Camaraderielimited ne puisse pas le vérifier de manière indépendante.

Si l'arrêt se poursuit, davantage de certificats vont expirer, car ils peuvent obliger les employés à les renouveler. Par conséquent, "[T]Paul Mutton, chercheur en sécurité chez Netcraft, a écrit dans un article publié jeudi sur son blog.

Les conclusions de Netcraft soulignent les conséquences néfastes de la fermeture prolongée sur la cybersécurité du gouvernement américain, qui ont laissé des centaines de milliers d'employés et de sous-traitants fédéraux en congé.

Les certificats de sécurité, qui utilisent une clé cryptographique pour vérifier la légitimité d'un site Web, sont des outils cruciaux pour son fonctionnement en toute sécurité. Les certificats permettent aux sites Web de sélectionner des outils qui chiffrent les informations que les sites envoient aux visiteurs et en reçoivent. Si les certificats d'un site Web ne sont pas valides, les outils de sécurité ne fonctionneront pas.

Cela laisse les informations (pensez aux mots de passe et aux numéros de carte de crédit) vulnérables aux pirates. De plus, les pirates pourraient ordonner furtivement aux visiteurs de télécharger des logiciels malveillants se faisant passer pour un fichier de tous les jours, tel que le format PDF d’un document important.

C'est ce qu'on appelle une attaque "au milieu", a déclaré Marc Rogers, responsable de la cybersécurité chez Okta, une société qui gère les connexions au lieu de travail. Cette tactique a été utilisée à la fois par des criminels et des agences d'espionnage pour tromper les utilisateurs d'Internet et compromettre les ordinateurs. .

De telles attaques peuvent être très sophistiquées, les pirates informatiques détournant ce que les visiteurs voient même lorsqu'ils tapent la bonne adresse de site Web. Les pirates peuvent ensuite montrer aux visiteurs une version frauduleuse du site Web qu'ils tentaient d'atteindre.

Netcraft a trouvé plus de 80 certificats de sécurité expirés pour des sites Web du gouvernement américain, mais la société ne dit pas que les pirates ont réellement profité des sites vulnérables.

Certains des certificats expirés ont renversé des sous-domaines ou des ramifications de sites Web majeurs. Un sous-domaine de la NASA, rockettest.nasa.com, n'est actuellement pas accessible, ce qui, selon Netcraft, est dû à un certificat périmé. Selon Internet Archive, cette page est destinée au programme d'essais de propulsion de fusée de l'agence d'exploration spatiale. Le certificat de sécurité du site a expiré le 5 janvier, selon Netcraft.

La NASA n'a pas immédiatement répondu à une demande de commentaire.

Plus que jamais, les sites Web utilisent des certificats de sécurité et permettent ainsi une connexion cryptée. Les experts en sécurité Internet et les grandes sociétés de la Silicon Valley, notamment Google et Mozilla, ont facilité la tâche des propriétaires de sites Web pour obtenir des certificats. En fait, il est si courant que les fraudeurs commencent également à chiffrer leurs sites Web afin de paraître légitimes.

Rogers a déclaré que la menace posée par les certificats expirés devrait inciter les législateurs et les chefs de départements à mieux planifier la prochaine fermeture du gouvernement.

"Nous devons demander quelles sont les choses que nous devons protéger?" Rogers a dit. "Ainsi, lorsque ces manquements surviennent, les criminels n'en profitent pas."

Sécurité: restez au courant des dernières violations, piratages, correctifs et de tous les problèmes de cybersécurité qui vous empêchent de dormir la nuit.

Sécurité électorale: Tout ce que vous devez savoir sur la sécurité électorale lors des élections à mi-parcours aux États-Unis en 2018.

Chargez plus d'articles en relation
Chargez plus par Camaractu
CHargez plus dans High-Tech

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Regardez aussi

La meilleure chose que vous pouvez obtenir pour moins de 30 $

En nous rapprochant de plus en plus du Super Bowl LIII, vous avez peut-être remarqué que d…