Les risques des certificats SSL expirés pour les entreprises
Les certificats SSL expirés peuvent exposer les entreprises à des risques de sécurité, à des temps d'arrêt, à une perte de confiance de la part des clients, ainsi qu'à des dommages financiers et de réputation. Des processus appropriés de renouvellement des certificats sont essentiels pour éviter ces problèmes, en particulier pour les grandes entreprises qui ont de nombreux certificats à gérer.
Table des Matières
Les certificats Secure Socket Layer (SSL) / Transport Layer Security (TLS) constituent la base de la sécurité et de l'authentification des sites web modernes. Ces certificats sont largement utilisés par des organisations de tous types et de tous secteurs.
Destinés à établir des connexions cryptées entre les sites web et les navigateurs web, les certificats SSL/TLS garantissent l'intégrité des données tout en authentifiant l'identité d'un site web et en protégeant la transmission des données.
Malheureusement, de nombreuses organisations ont du mal à maintenir leurs certificats SSL à jour, en particulier celles qui gèrent des centaines, voire des milliers de certificats numériques. Les processus de renouvellement manuel prennent du temps et sont sujets aux erreurs. De plus, comme les services informatiques surchargés assument un nombre croissant de tâches liées à la sécurité, les processus de gestion du cycle de vie des certificats en pâtissent souvent.
Il s'agit d'un problème courant dans les petites entreprises, mais les grandes sociétés sont également vulnérables. Au cours des dernières années, des interruptions de certificats ont fait la une des journaux, entraînant des temps d'arrêt considérables, une perte de confiance de la part des clients et, par conséquent, des pertes financières importantes. Si l'on ajoute à cela une atteinte à la réputation, on comprend aisément pourquoi il est prioritaire d'éviter les certificats SSL expirés en mettant en place de solides processus de renouvellement des certificats.
Entreprises ayant été confrontées à des interruptions majeures de certificats
Chronologie des interruptions de certificats dans les grandes entreprises
Les interruptions de certificats se produisent beaucoup trop souvent, en raison de l'expansion rapide des certificats SSL/TLS dans un espace numérique de plus en plus complexe et vulnérable. De nombreuses organisations apparemment bien protégées et bien gérées ont été victimes de ces problèmes et, malheureusement, étant donné que les périodes de validité des certificats SSL seront bientôt réduites à 90 jours seulement, de nombreuses autres seront sujettes à des interruptions. Cela pourrait nuire considérablement à leur réputation et les rendre vulnérables aux cyberattaques de pirates informatiques de plus en plus sophistiqués.
Les expirations de certificats sont courantes, mais pas inévitables. Avec une bonne approche de la gestion du cycle de vie des certificats (CLM), il est possible de réduire considérablement le risque d'interruption tout en apportant une approche plus structurée et plus fiable du renouvellement des certificats. Néanmoins, il est important de rester pleinement conscient des principales vulnérabilités. Pour révéler l'ampleur des problèmes d'expiration du SSL - et la nécessité d'être vigilant - nous avons mis en avant plusieurs organisations familières qui ont fait face à des interruptions alarmantes.
Transportant environ 40 % du trafic mobile mondial, Ericsson est depuis longtemps un nom de confiance dans le domaine des télécommunications. Bien qu'Ericsson fournisse généralement une couverture fiable, une défaillance majeure s'est produite en 2018, lorsqu'un certificat expiré a causé des problèmes à des millions de clients européens et même à de nombreux clients au Japon.
Le journaliste informatique Davey Winder a déclaré à Forbes : « Je me serais attendu à ce qu'une entreprise aussi importante qu'Ericsson soit mieux informée et ait mis en place les processus de sécurité appropriés pour éviter un tel événement. » Il a toutefois ajouté que les acteurs de la cybersécurité n'étaient que trop familiers avec l'expiration perturbatrice des certificats.
Le PDG d'Ericsson, Börje Ekholm, a par la suite affirmé que le logiciel responsable de cette interruption avait été mis hors service. Ce fiasco a clairement mis en évidence la nécessité de garder « un contrôle ferme sur les certificats installés dans les systèmes critiques », comme l'a souligné Tim Callan de Sectigo.
LinkedIn (2019)
LinkedIn est un nom de confiance dans la sphère des médias sociaux modernes, mais la plateforme a souffert de quelques oublis technologiques importants au fil des ans. L'un des plus préoccupants s'est produit en 2019, lorsque Microsoft (qui avait précédemment acquis LinkedIn) a laissé un certificat SSL expirer. Bien que LinkedIn semble avoir renouvelé le certificat en question en mai 2019, cette mise à jour n'a pas été correctement reflétée par le serveur.
Ce n'était pas la première fois que LinkedIn subissait des temps d'arrêt en raison d'un oubli de renouvellement de certificat ; cela s'est également produit en 2017, lorsque des millions d'utilisateurs du site web n'ont pas pu se connecter à leurs comptes. Le chercheur en sécurité Alan Woodward a expliqué : « Ce n'est pas le premier grand nom à oublier de renouveler les certificats, et il est facile d'oublier les sous-domaines, mais vraiment, avec les rappels que l'AC [autorité de certification] envoie, il est surprenant que cela se produise encore. »
Microsoft Teams (2020)
Microsoft Teams facilite la collaboration en temps réel grâce à la messagerie instantanée, aux appels vidéo, au stockage de fichiers et à de nombreuses autres fonctionnalités. En 2020, cependant, tout cela a été remis en question pour des utilisateurs jusqu'alors confiants, qui ont soudainement été confrontés à des perturbations majeures lorsque Microsoft Teams est tombé en interruption pendant plusieurs heures.
Lorsque les utilisateurs ont tenté de se connecter, ils ont reçu des messages d'erreur indiquant que l'application n'était pas en mesure d'établir les connexions HTTPS nécessaires. Une notification de interruption de Microsoft expliquait : « Un certificat d'authentification a expiré : « Un certificat d'authentification a expiré, ce qui entraîne des problèmes d'utilisation du service. Cette situation est d'autant plus préoccupante que l'entreprise utilise System Center Operations Manager pour détecter l'expiration des certificats.
Google Voice (2021)
En février 2021, un certificat TLS expiré a empêché les utilisateurs de profiter pleinement du service téléphonique Google Voice. Pendant quatre heures, ces utilisateurs n'ont pas pu passer d'appels VoIP (Voice over Internet).
Plus tard, une analyse des causes profondes a expliqué : « En raison d'un problème de mise à jour des configurations de certificats, le certificat actif dans les systèmes frontaux de Google Voice a expiré par inadvertance... Pendant la période d'impact, tous les clients tentant d'établir ou de rétablir une connexion SIP n'ont pas pu le faire ».
Les ingénieurs de Google ont passé deux heures à enquêter sur l’interruption, bien que le résumé du problème de Google ne révèle pas ce qu'ils ont examiné exactement pendant cette période. Une alerte a finalement informé ces professionnels des problèmes liés à la interruption, mais pas avant qu'un temps d'arrêt inacceptable ne se soit produit.
Spotify (2022)
Spotify s'est fait une place dans le domaine des podcasts avec la plateforme Megaphone, qui aide les podcasteurs professionnels à publier leurs programmes et à accroître leur audience. Cette plateforme a subi une interruption majeure en 2022, en raison d'un renouvellement de certificat manqué.
Dans un communiqué, la porte-parole Erin Styles a expliqué que « Megaphone a connu une panne de plateforme en raison d'un problème lié à notre certificat SSL. Pendant cette interruption, les clients n'ont pas pu accéder au CMS de Megaphone et les auditeurs de podcasts n'ont pas pu télécharger les épisodes de podcasts des éditeurs hébergés par Megaphone ».
Cette interruption a empêché les auditeurs de podcasts d'écouter leurs émissions préférées pendant huit heures, une durée suffisante pour que les adeptes de Spotify et de Megaphone perdent confiance en leur fournisseur de streaming favori. Même après le rétablissement technique de l'accès, de nombreux utilisateurs n'ont pas pu utiliser pleinement le système de gestion de contenu de Megaphone.
Cisco (2023)
L'entreprise a publié un bulletin révélant que les utilisateurs d'appliances SD-WAN vEdge pouvaient subir des pertes de service s'ils mettaient à jour leurs appareils. Ces problèmes devraient également avoir un impact négatif sur le saut de port et le changement de topologie.
Ce fiasco a touché plus de 20 000 clients. Un utilisateur a déclaré à The Register : « Tous les clients SD-WAN basés sur vEdge sont assis sur une bombe à retardement, regardant l'horloge avec des paumes moites, attendant que le WAN de leur entreprise implose et/ou cherchant comment réarchitecturer leur WAN pour maintenir la connectivité ».
Malheureusement, ce n'était pas la première fois que les clients de Cisco souffraient d’interruptions de certificats. En 2018, un certificat SSL a expiré dans le kit VPN de Cisco, suscitant également des doutes sur la capacité de CIsco à protéger les utilisateurs finaux.
Le rôle critique de la gestion automatisée du cycle de vie des certificats
Les exemples soulignés ci-dessus n'ont pas pour but d'alarmer, mais plutôt de transmettre le besoin de vigilance dans la gestion et le renouvellement des certificats SSL/TLS. Oui, les certificats numériques restent essentiels, mais ils doivent être soulignés par un processus fiable pour garantir une couverture cohérente. Bien que les autorités de certification (AC) proposent des notifications avant les prochaines dates d'expiration, il faudra peut-être un effort plus concerté pour éviter que les certificats expirés n'entraînent des interruptions.
La gestion automatisée du cycle de vie des certificats promet de combler cette lacune, en limitant le risque d'expiration inattendue (et les perturbations qui en découlent) en veillant à ce que les certificats numériques soient renouvelés avant leur date d'expiration prévue. Par ailleurs, une approche centralisée de la gestion des certificats offre une meilleure visibilité de leur état, ce qui permet d'assurer une surveillance maximale de nombreux certificats.
Les stratégies automatisées favorisent également l'agilité cryptographique, qui a été identifiée comme une qualité essentielle pour éviter les interruptions à l'avenir. Ce terme fait référence à la capacité des organisations à s'adapter à l'évolution des algorithmes tout en continuant à promouvoir une continuité maximale pour l'infrastructure de cybersécurité. Les systèmes crypto-agiles sont mieux à même de renouveler rapidement les certificats et d'éviter les interruptions.
Ne devenez pas la prochaine victime d'une interruption de certificat SSL
Compte tenu des enjeux importants et des risques de sécurité liés à l'expiration des certificats SSL, il n'existe pas de substitut à la gestion automatisée du cycle de vie des certificats. Libérez la puissance de l'émission et de la gestion automatisées avec Sectigo Certificate Manager (SCM) - une plateforme conçue pour apporter plus de confiance et de fiabilité à l'ensemble du cycle de vie des certificats numériques. Pour en savoir plus, planifiez une démo ou passez à l'étape suivante avec un essai gratuit.
Want to learn more? Get in touch to book a demo of Sectigo Certificate Manager!
Related posts:
Why SSL certificates expire: exploring the benefits of shorter validity periods
The impact of 90-day SSL certificates on enterprise security
How businesses should prepare for shorter SSL/TLS certificate validity periods