Le DHS veut obliger les agences gouvernementales à chiffrer leurs sites
Le Département américain de la sécurité intérieure veut obliger les agences gouvernementales à chiffrer leurs sites,
et à adopter DMARC
Lundi, le Département de la Sécurité intérieure (DHS) a demandé aux organismes fédéraux de mettre en œuvre de meilleurs protocoles de sécurité sur les courriels et les sites Web du gouvernement.
Jusqu'à présent, le DHS avait incité les entreprises à activer le chiffrement HTTPS sur l'ensemble de leur réseau, ce qui permet de sécuriser les données en transit, mais contribue également à contrer des attaques de type MITM afin que personne ne puisse modifier le contenu du site Web que vous visitez. Le ministère les a également poussé à utiliser DMARC (Domain-based Message Authentication, Reporting and Conformance, une spécification technique créée par un groupe d'organisations qui souhaite aider à réduire l'usage abusif des e-mails, tels que le spam, le phishing, en proposant une solution de déploiement et de surveillance des problèmes liés à l'authentification des e-mails)
Cette fois-ci, le DHS s’est tourné vers les agences gouvernementales. Ces dernières seront tenues d'utiliser DMARC afin de prévenir entre autres l'usurpation de courriel. En outre, chaque site Web fédéral devra être accessible via une connexion sécurisée, c'est-à-dire HTTPS plutôt que HTTP.
« Nous pensons vraiment que ces deux étapes très simples peuvent avoir une influence considérable sur la réduction des vulnérabilités communes qui sont couramment exploitées par des acteurs malveillants », a déclaré Jeanette Manfra, secrétaire adjointe à la cybersécurité et aux communications du DHS.
Il arrive que des acteurs malveillants se servent de techniques d'usurpation d'e-mails pour parfaire leurs campagnes de phishing : l’utilisateur aura alors tendance à croire que l’expéditeur est bel et bien celui qu’il prétend être et va cliquer sur le lien ou le fichier joint vérolé. Le DHS estime que DMARC peut aider à prévenir cela.
Les agences ont 90 jours pour mettre en œuvre les nouveaux protocoles de courrier électronique et 120 jours pour les nouvelles normes de sécurité Web. Le DHS a émis les ordres dans le cadre d'une directive opérationnelle contraignante, qui ne s'applique pas à certains systèmes de sécurité nationaux.
Le sénateur Ron Wyden a insisté pour une sécurité des communications plus stricte. En juillet, Wyden a envoyé une lettre à Manfra demandant au DHS de mandater l'adoption de DMARC au sein du gouvernement fédéral. Il a également appelé le gouvernement à exiger une forme de chiffrement plus fort appelé STARTTLS sur les adresses mails du gouvernement. La directive de lundi oblige les agences à l'appliquer également.
« J'ai poussé les agences fédérales à prendre au sérieux la cybersécurité et la nouvelle politique d'aujourd'hui est une bonne étape fondamentale », a déclaré Wyden dans un communiqué. « Les technologies de chiffrement STARTTLS et anti-pishing telles que DMARC sont deux moyens économiques et efficaces de sécuriser les courriels afin qu’ils ne soient pas interceptés ou utilisés par des acteurs malveillants. J'espère que d'autres agences gouvernementales reconnaissent les avantages clairs du chiffrement fort et que les entreprises du secteur privé vont rapidement améliorer leur propre sécurité de messagerie. »
Quelques agences, parmi lesquelles la Federal Trade Commission ou l’administration chargée de la sécurité sociale, ont déjà déployé DMARC.
L'été dernier, un "farceur" a envoyé un certain nombre de faux emails aux fonctionnaires de la Maison Blanche prétendant être Jared Kushner, conseiller principal du président. La nouvelle sécurité des e-mails ne vient pas empêcher à ce type de courriels d’être diffusés (n'importe qui peut créer un faux compte Gmail par exemple et envoyer un courriel) mais empêchera à un individu d'envoyer un courriel par exemple comme s'il provenait d'une adresse e-mail officielle de la Maison Blanche.
Le DHS espère également que cette décision contraindra les entreprises et les organisations à adopter un protocole de sécurité plus fort de leurs courriels. En effet, selon un rapport de la Global Cyber Alliance, même les plus grandes entreprises de sécurité n'appliquent pas le protocole DMARC. Mais il est soutenu par 85% des boîtes de réception des consommateurs, y compris Google et Yahoo qui l'utilisent pour protéger les utilisateurs contre les courriels frauduleux.
« La cybersécurité peut être un domaine complexe et parfois trop écrasant pour que les gens y réfléchissent », a déclaré Manfra. « Ce sur quoi nous essayons de nous concentrer au DHS est : quelles sont les choses tangibles que les gens peuvent faire, que les entreprises et les organisations peuvent faire, qui auront ces conséquences larges et évolutives pour améliorer la sécurité de l'Internet dans son ensemble ? »
Source : CNN
Et vous ?
Que pensez-vous de cette initiative ? La France gagnerait-elle à s'en inspirer ?
Répondre avec citation
Partager