Let’s Encrypt : le chiffrement à la portée de tous

Le système Let’s Encrypt vient d’être lancé en version bêta publique. Une idée qui ouvre le chiffrement facile et gratuit.

C’est le site Data Security Breach France qui a été le premier à en parler. Une autorité de certification de sécurité gratuite, basée aux États-Unis, vient de rendre disponible dans le monde entier son système baptisé Let’s Encrypt.

Let’s Encrypt est le premier certificat de sécurité gratuit. Une idée particulièrement excitante. Ce projet permettra d’augmenter sensiblement la sécurité dans le monde entier en activant le chiffrement où il n’y en avait pas auparavant. « Le fait que leurs certificats soient libres remodèle l’industrie de certification » confirme à zataz.com Ivan Ristic, Directeur de recherche pour les applications de sécurité chez Qualys.

Un tel projet qui risque d’inciter, et c’est tant mieux, les autorités de certification commerciales à suivre ce mouvement en offrant également des certificats gratuits. Les principaux progrès viendront de l’automatisation et du fait que le chiffrement deviendra intégré au tissu de notre infrastructure Internet.

Indépendamment, il devient enfin possible d’avoir des sites qui comptent sur l’hébergement virtuel sécurisé (également connu sous SNI, une fonction qui ne nécessite pas qu’une adresse IP distincte soit utilisée pour chaque site chiffré).

Combiné avec des certificats gratuits et automatiques, nous avons maintenant tout ce qu’il faut pour avoir du chiffrement partout et pour toutes les communications.

Mise à jour 10/03/2016 –

Selon certains experts, les certificats SSL délivrés gratuitement ne sécurisent ni vos clés ni vos certificats ! Un million de certificats SSL gratuits déjà distribués par Let’s Encrypt. Quelques mois après le lancement effectif de ce projet qui a démarré à la mi-Septembre 2015, Let’s Encrypt vient de franchir la barre symbolique du million de certificats SSL pour un hébergement en mode HTTPS distribués gratuitement à travers le monde.

La multiplication des émissions de certificats gratuits affaiblit la sécurité d’Internet. L’intensification des compromissions de clés et de certificats va inciter les individus malveillants à se faufiler dans les angles morts créés par des flux soigneusement chiffrés. Objectif de ces individus : masquer leurs attaques.

Kevin Bocek – VP Threat Intelligence and Security Strategy de chez Venafy (son entreprise commercialise des certifcats) a déclaré : « Kudos to the Let’s Encrypt initiative for already issuing a million free certificates. This is a great thing—more SSL/TLS protects data and privacy. But more certificates, and especially those that are not continuously monitored and secured from misuse will certainly create more criminal interest and activity.

The use of digital certificates to appear trusted and hide inside in encrypted traffic is fast becoming the default for cyber attackers — which almost counteracts the whole purpose of adding more encryption and trying to create a more trustworthy Internet with free certificates. In fact, we’ve already seen free certificates misused by bad guys, including a recent malvertising campaign that used certificates issued from Let’s Encrypt. Cyber criminals will increasingly misuse keys and abuse certificate trust to bypass security controls.

It’s becoming more difficult to know what to trust, and the increased use of encryption is creating more blind spots for threat protection systems. The risks are very real when certificates are misused, including allowing bad guys to hide in encrypted traffic to transmit malware or steal data, eavesdrop on “secure” communications using a man-in-the-middle (MitM) attacks, spoof websites for phishing attacks, and distribute malware that is signed using a seemingly legitimate certificate.

The value of a certificate will not be in its issuance cost, but will be based on the value and reputation of the issuing CA and in the certificate’s purpose. To maintain that value, organizations must ensure the integrity and security of its certificates. ».

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.