Discussion :

[Stéphane le calme]

Arrêt des activités gouvernementales aux États-Unis : des certificats TLS n'ont pas été renouvelés,
et plusieurs sites sont inaccessibles

Plus de 80 certificats TLS utilisés par les sites Web du gouvernement américain ont expiré jusqu'à présent sans avoir été renouvelés, laissant certains sites Web inaccessibles au public.

La NASA, le ministère américain de la Justice et la Cour d'appel ne sont que quelques-unes des agences gouvernementales américaines actuellement touchées, selon Netcraft.

Ceci intervient alors que les États-Unis observent un arrêt des activités gouvernementales (government shutdown), une situation politique dans laquelle le Congrès échoue à autoriser suffisamment de fonds pour les opérations gouvernementales. Dans ce cas, l'administration fédérale cesse tout service à la population à l'exception, dans un premier temps, des services dits « essentiels ».

Un arrêt du gouvernement a pour conséquence un nombre élevé d'employés fédéraux mis au chômage temporaire. Le personnel militaire actif, et les employés « essentiels » restent en poste, mais peuvent être payés différemment des barèmes prévus durant la période de chômage, par exemple plus tard.

Avec environ 400 000 employés fédéraux actuellement mis au chômage temporaire, plus de 80 certificats TLS utilisés par les sites Web .gov ont expiré jusqu'à présent sans avoir été renouvelés. Pour aggraver la situation, certains de ces sites Web abandonnés ne sont plus accessibles en raison de mesures de sécurité strictes mises en œuvre bien avant le début de l’arrêt gouvernemental.

Https://ows2.usdoj.gov, un site Web du ministère américain de la Justice, utilise un certificat qui a expiré dans la semaine qui a précédé l’arrêt gouvernemental. Le certificat a été signé par une autorité de certification de confiance, GoDaddy, mais il n'a pas été renouvelé depuis son expiration le 17 décembre 2018.

L’arrêt du gouvernement des États-Unis a pour origine le refus du président américain Donald Trump de signer tout projet de loi budgétaire du gouvernement pour 2019 ne prévoyant pas de financement pour un mur à la frontière mexicaine que Trump a promis pendant sa campagne électorale.

Des centaines de milliers de fonctionnaires ont ainsi été licenciés dans toutes les agences gouvernementales, y compris le personnel chargé de l'assistance informatique et de la cybersécurité.

En conséquence, les sites Web du gouvernement tombent comme des mouches, personne n’étant disponible pour renouveler les certificats TLS.

Les sites Web avec des certificats expirés dans lesquels les administrateurs ont suivi les procédures appropriées et mis en œuvre des stratégies HSTS (HTTP Strict Transport Security) fonctionnant correctement sont définitivement inactifs et les utilisateurs ne peuvent pas accéder à ces portails, pas même pour rechercher des informations de base.

Les sites Web gouvernementaux avec des certificats TLS expirés mais n'ayant pas implémenté HSTS affichent une erreur HTTPS dans les navigateurs des utilisateurs, mais cette erreur peut être contournée pour accéder au site via HTTP.

Bien que ce comportement soit voué à frustrer certains utilisateurs, dans ce cas, la sécurité est sans doute meilleure que la convivialité lorsque vous ne pouvez pas avoir les deux. Si les utilisateurs devaient ignorer de tels avertissements, ils seraient vulnérables aux attaques de type Man-in-the-middle que les certificats TLS étaient censés combattre.

Cependant, seuls quelques-uns des sites .gov concernés implémentent des stratégies HSTS fonctionnant correctement. Une poignée de sites apparaissent dans la liste de préchargement HSTS, et seule une petite proportion des sites restants tente de définir une stratégie via l'en-tête HTTP Strict-Transport-Security - mais ces dernières ne seront pas respectées si elles sont servis avec un certificat expiré. Ces stratégies ne seront donc efficaces que si l'utilisateur a déjà visité les sites auparavant.

Par conséquent, la plupart des sites affectés vont afficher un avertissement interstitiel de sécurité que l'utilisateur pourra contourner. Cela pose des problèmes de sécurité réalistes, étant donné que les utilisateurs orientés sur les tâches sont plus susceptibles d'ignorer ces avertissements de sécurité et se rendent donc vulnérables aux attaques Man-in-the-Middle.

Par exemple, https://rockettest.nasa.gov/ n'est pas inclus dans la liste de préchargement HSTS et son certificat a expiré le 5 janvier 2019. Cela oblige les navigateurs à afficher un avertissement interstitiel de sécurité que les utilisateurs peuvent ignorer.

Ce site Web de la NASA utilise toujours un certificat arrivé à expiration, mais le domaine ne figure pas dans la liste de préchargement HSTS. Les utilisateurs peuvent donc ignorer les avertissements du navigateur et accéder au site.

Le meilleur moment pour lancer une cyberattaque contre les USA par des pays hostiles, selon des experts

Visiter et parcourir du contenu est acceptable, mais les utilisateurs doivent également savoir que tous les sites Web ne seront pas gérés de manière active et qu'aucun employé ne sera disponible pour traiter les demandes ou mettre à jour les sites avec les informations correctes les plus récentes.

L’arrêt des activités du gouvernement a été un désastre sur le front de la cybersécurité jusqu'à présent. Les experts de plusieurs entreprises de cybersécurité ont averti que ce serait le moment idéal pour les pays hostiles de mener des cyberattaques contre le gouvernement américain, car les agences sont en sous-effectif et l'infrastructure informatique laissée en grande partie sans surveillance.

Selon Axios, l'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) nouvellement créée du département de la Sécurité intérieure a perdu 43% de ses effectifs, ce qui représente environ 1 500 employés. L’Institut national des normes et de la technologie, qui met en place et gère de nombreuses normes de sécurité, n’a également gardé que 49 employés sur ses 3 000 employés habituels.

Mais, outre les pertes de personnel, les agences gouvernementales ont également manqué une occasion importante de recruter de nouveaux talents en cybersécurité cet hiver, selon CyberScoop. Aucun représentant de la FTC, du NIST, du département d'État ou de la CISA n'était présent sur les stands lors d'un important événement de recrutement d'étudiants en lien avec le cyber s'est tenu à Washington cette année.

Sources : NetCraft, Axios, CyberScoop

Voir aussi :

USA : les personnes âgées de plus de 65 ans sont les plus susceptibles de partager des fake news, selon une étude
Le « développeur logiciel » classé meilleur métier de l'année 2019 aux USA, grâce à une demande future en hausse et un niveau de stress moyen
De nouveaux documents lieraient Huawei à des sociétés écran présumées en Iran et en Syrie, le bras de fer entre les USA et la Chine continue
Les États-Unis veulent des drones autonomes alimentés par l'IA qui pourront décider seul de tuer en recourant à des algorithmes d'autoapprentissage
Voici 6 raisons pour lesquelles Huawei donne aux États-Unis et à ses alliés des cauchemars en matière de sécurité informatique

[Sodium]

La stratégie de Trump est des plus cohérente : faire chier le peuple un maximum jusqu'à ce que celui-ci se retourne contre les démocrates et forcent ceux-ci à valider son projet délirant et inutile de mur à la frontière.

[sergio_is_back]

La stratégie de Trump est des plus cohérente

Chercher de la cohérence chez Trump cela relève de la chimère... Comme le démontre ses relations avec son "meilleur" ami Kim Jong Un, un an auparavant c'était un petit gros qu'il affublait du surnom de "Rocket man" en public et pire en privé...

[Sodium]

Il faut croire que la stratégie du bambin qui chuine et refuse de faire quoi que ce tant qu'on n'a pas eu sa panade fonctionne aux USA

[Itachiaurion]

je croyais que les postes stratégique vitaux étais épargné par le shutdown? Ou cela voudrais dire que la cybersécurité n'est pas un de ces postes stratégiques vital pour le gouvernement? C'est assez navrant si c'est le cas.

[tanaka59]

Une chose qui est plutôt bonne chez M'sieur Trump c'est quand il prend un engagement il s'y tient. Contrairement à nos énarques européens qui font l'inverse ...

Je me doute qu'un shutdown serait particulièrement tout aussi catastrophique en Europe.

[Sodium]

Alors déjà son engament c'était que le mur allait être financé par le Mexique, ensuite tenir des engagements particulièrement stupides et destructeurs pour l'économie du pays n'est pas particulièrement à son honneur...

[tanaka59]

Je suis entièrement d'accord avec la politique de M'sieur Trompe est tout a fait discutable

[CoderInTheDark]

Il devrait demandé aux chinois.
Ils vont lui faire un prix cassé
Ils ont de l'expérience avec leur grande muraille
Ah oui j'oubliais il aussi fâché avec eux

"Les cons ça ose tout c'est même à ça que on les reconnait."
Et lui il ose
Demander aux mécicain de payer
Dire que les criminels viennent forcément du sud
Il oublie aussi que les armes qui tuent aux Méxique viennent souvent des US

Et les fonctionnaires américains qui doivent payer leurs loyers, ils ne se révoltent pas ?
Là il y ayrait de quoi sortir sa Yellow vest

[psychadelic]

Normalement, le 17 Janvier devait partir le premier essai de la capsule Dragon de spaceX.
Cette capsule devrait permettre a la Nasa de se passer des service du Soyouz pour accéder à l'ISS.
Mais -en partie- à cause du shutdown de Trump, ce vol de test est reporté pour Février, à minima...

[Sodium]

Belle stratégie de Trump que de continuer à rendre ses astronautes dépendants des Russes