Arrêtez de contempler le nombril du cryptage

Nous sommes tellement fascinés par notre propre génie en cryptographie que nous oublions que la plupart des données au repos – stockées dans des bases de données – ne sont pas chiffrées.

À titre d'exemple, une analyse Skyhigh des contrôles de cryptage a révélé que 81,8 % des fournisseurs de services cloud cryptent les données en transit à l'aide de SSL ou TLS, mais que seulement 9,4 % des fournisseurs cryptent les données une fois qu'elles sont stockées au repos dans le cloud. Cela fait du nombre croissant d'organisations qui proposent un accès illimité aux bases de données cloud et aux compartiments de stockage AWS S3 un véritable cauchemar.

Les cyberdéfenses d’aujourd’hui reposent largement sur le fait qu’il faudrait même aux supercalculateurs classiques les plus puissants un temps presque inimaginable pour déchiffrer les algorithmes cryptographiques qui protègent nos données, nos réseaux informatiques et autres systèmes numériques.
Extrait de < https://it.slashdot.org/story/18/12/05/2342226/les-ordinateurs-quantiques-constituent-une-menace-de-sécurité-pour-laquelle-nous-sommes-toujours-totalement-unprepared-for >

Cette affirmation est incontestablement vraie. Le problème est que la cryptographie ne protège pas complètement nos données, nos réseaux informatiques et nos autres systèmes numériques. Il protège les données en vol et, si nous avons de la chance, au repos. Il augmente le contrôle d’accès aux systèmes critiques. Mais la réalité est que pour que les « réseaux » et les « systèmes » puissent traiter les données et exécuter la logique, ils doivent être capables de visualiser les données en texte clair et brut. Les organisations sont confrontées à un risque plus grand face aux applications non protégées et non corrigées qu’aux voyeurs numériques.

C’est la raison pour laquelle les violations continuent de se produire à un rythme croissant. Non pas parce que les données ne sont pas chiffrées en vol ou au repos, mais parce que les applications et les API ne peuvent pas traiter les données sous leur forme chiffrée. Il doit être décrypté, auquel cas il est vulnérable à l'exposition. Et les vulnérabilités attirent les attaquants.

Les applications et les API qui interagissent et fonctionnent sur ces données non chiffrées constituent une menace plus importante pour la sécurité et la confidentialité des données que le craquage de la cryptographie quantique. C’est l’une des raisons pour lesquelles ils sont si fréquemment ciblés. Dans l'analyse de F5 Labs sur une décennie de violations , « les applications ont été les cibles initiales de 53 % des violations ». Non seulement ils constituent le chemin le plus simple vers les données, mais ils constituent également l’un des seuls endroits restants dans le chemin de données de plus en plus crypté où les données ne sont pas cryptées et facilement utilisables par ceux qui les recherchent.

Nous sommes aujourd’hui presque insensibles aux violations de données, car elles se produisent avec une fréquence si alarmante qu’il est normal de voir aujourd’hui des nouvelles de millions d’enregistrements extraits d’une base de données via une application. Et ce, malgré les efforts visant à nous forcer à utiliser le cryptage, c’est-à-dire à utiliser HTTPS au lieu de HTTP. Et ce, en dépit du fait que les navigateurs imposent des normes cryptographiques aux algorithmes et aux longueurs de clés utilisés pour crypter les données des regards « indiscrets ».

Si les « cyberdéfenses » actuelles reposent réellement sur la force de la cryptographie, alors nous sommes vraiment en difficulté. Car ce n’est pas la seule force de la cryptographie qui empêche les violations et les exfiltrations de données qui encombrent nos fils d’actualité et encombrent nos boîtes de réception. C’est la force – et de plus en plus, l’intelligence – avec laquelle nous pouvons reconnaître et prévenir une attaque qui conduit à la perte de données.

Un code malveillant crypté reste malveillant. Les informations d’identification volées cryptées insérées dans les systèmes d’authentification des applications restent des informations d’identification volées. L'élimination des middleboxes n'élimine pas la menace d'un serveur Web ou d'application vulnérable exécutant un exploit pour accéder à des données précieuses et nues.

Il ne suffit pas de regarder avec amour notre capacité à renforcer le cryptage si cela porte les attaques qui menacent l’exploitation des applications et des API directement au cœur de notre économie numérique.  La protection de nos actifs numériques (applications) et des canaux par lesquels ils sont accessibles (API) nécessite une approche plus holistique de la protection des applications qui combine l'intelligence, l'identité et la détection des attaques en plus d'une cryptographie forte.