Plus de 80 certificats TLS utilisés par les sites Web du gouvernement américain ont expiré jusqu'à présent sans avoir été renouvelés, laissant certains sites Web inaccessibles au public.
La NASA, le ministère américain de la Justice et la Cour d'appel ne sont que quelques-unes des agences gouvernementales américaines actuellement touchées, selon Netcraft.
Ceci intervient alors que les États-Unis observent un arrêt des activités gouvernementales (government shutdown), une situation politique dans laquelle le Congrès échoue à autoriser suffisamment de fonds pour les opérations gouvernementales. Dans ce cas, l'administration fédérale cesse tout service à la population à l'exception, dans un premier temps, des services dits « essentiels ».
Un arrêt du gouvernement a pour conséquence un nombre élevé d'employés fédéraux mis au chômage temporaire. Le personnel militaire actif, et les employés « essentiels » restent en poste, mais peuvent être payés différemment des barèmes prévus durant la période de chômage, par exemple plus tard.
Envoyé par NetcraftHttps://ows2.usdoj.gov, un site Web du ministère américain de la Justice, utilise un certificat qui a expiré dans la semaine qui a précédé l’arrêt gouvernemental. Le certificat a été signé par une autorité de certification de confiance, GoDaddy, mais il n'a pas été renouvelé depuis son expiration le 17 décembre 2018.
L’arrêt du gouvernement des États-Unis a pour origine le refus du président américain Donald Trump de signer tout projet de loi budgétaire du gouvernement pour 2019 ne prévoyant pas de financement pour un mur à la frontière mexicaine que Trump a promis pendant sa campagne électorale.
Des centaines de milliers de fonctionnaires ont ainsi été licenciés dans toutes les agences gouvernementales, y compris le personnel chargé de l'assistance informatique et de la cybersécurité.
En conséquence, les sites Web du gouvernement tombent comme des mouches, personne n’étant disponible pour renouveler les certificats TLS.
Les sites Web avec des certificats expirés dans lesquels les administrateurs ont suivi les procédures appropriées et mis en œuvre des stratégies HSTS (HTTP Strict Transport Security) fonctionnant correctement sont définitivement inactifs et les utilisateurs ne peuvent pas accéder à ces portails, pas même pour rechercher des informations de base.
Les sites Web gouvernementaux avec des certificats TLS expirés mais n'ayant pas implémenté HSTS affichent une erreur HTTPS dans les navigateurs des utilisateurs, mais cette erreur peut être contournée pour accéder au site via HTTP.
Envoyé par NetcraftCependant, seuls quelques-uns des sites .gov concernés implémentent des stratégies HSTS fonctionnant correctement. Une poignée de sites apparaissent dans la liste de préchargement HSTS, et seule une petite proportion des sites restants tente de définir une stratégie via l'en-tête HTTP Strict-Transport-Security - mais ces dernières ne seront pas respectées si elles sont servis avec un certificat expiré. Ces stratégies ne seront donc efficaces que si l'utilisateur a déjà visité les sites auparavant.
Par conséquent, la plupart des sites affectés vont afficher un avertissement interstitiel de sécurité que l'utilisateur pourra contourner. Cela pose des problèmes de sécurité réalistes, étant donné que les utilisateurs orientés sur les tâches sont plus susceptibles d'ignorer ces avertissements de sécurité et se rendent donc vulnérables aux attaques Man-in-the-Middle.
Par exemple, https://rockettest.nasa.gov/ n'est pas inclus dans la liste de préchargement HSTS et son certificat a expiré le 5 janvier 2019. Cela oblige les navigateurs à afficher un avertissement interstitiel de sécurité que les utilisateurs peuvent ignorer.
Ce site Web de la NASA utilise toujours un certificat arrivé à expiration, mais le domaine ne figure pas dans la liste de préchargement HSTS. Les utilisateurs peuvent donc ignorer les avertissements du navigateur et accéder au site.
Le meilleur moment pour lancer une cyberattaque contre les USA par des pays hostiles, selon des experts
Visiter et parcourir du contenu est acceptable, mais les utilisateurs doivent également savoir que tous les sites Web ne seront pas gérés de manière active et qu'aucun employé ne sera disponible pour traiter les demandes ou mettre à jour les sites avec les informations correctes les plus récentes.
L’arrêt des activités du gouvernement a été un désastre sur le front de la cybersécurité jusqu'à présent. Les experts de plusieurs entreprises de cybersécurité ont averti que ce serait le moment idéal pour les pays hostiles de mener des cyberattaques contre le gouvernement américain, car les agences sont en sous-effectif et l'infrastructure informatique laissée en grande partie sans surveillance.
Selon Axios, l'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) nouvellement créée du département de la Sécurité intérieure a perdu 43% de ses effectifs, ce qui représente environ 1 500 employés. L’Institut national des normes et de la technologie, qui met en place et gère de nombreuses normes de sécurité, n’a également gardé que 49 employés sur ses 3 000 employés habituels.
Mais, outre les pertes de personnel, les agences gouvernementales ont également manqué une occasion importante de recruter de nouveaux talents en cybersécurité cet hiver, selon CyberScoop. Aucun représentant de la FTC, du NIST, du département d'État ou de la CISA n'était présent sur les stands lors d'un important événement de recrutement d'étudiants en lien avec le cyber s'est tenu à Washington cette année.
Source:Afrik.com
