L’entreprise est la première au monde en matière d’analyse des certificats numériques. Ce faisant, elle a procédé à un audit de la sécurité de la messagerie de madame Clinton lorsqu’elle était Secrétaire d’Etat aux Affaires étrangères. Durant les trois premiers mois, elle n’était pas chiffrée alors que madame Clinton a effectué de nombreux déplacements dans des pays sensibles.

En procédant à une analyse détaillée de la configuration de la messagerie de madame Clinton, la société Venafi Trustnet a identifié 3 certificats numériques entre mars 2009 et septembre 2013, le dernier étant valable jusqu’en 2018. 

Ces certificats ont été obtenus de façon tout à fait valide et permettent le chiffrement des messages qu’elle que soit l’origine (mobile, PC, tablette). La sécurisation était renforcée par un tunnel VPN SSL. Cependant, durant les trois premiers mois, aucun certificat n’a été découvert ce qui signifie que la messagerie n’était pas chiffrée. Durant ces premiers mois de mandat, madame Clinton s’est déplacée dans des pays comme la Chine, l’Egypte, Israël ou encore la Corée du Sud.

Le serveur de messagerie a pu être compromis

En plus de la non-sécurisation durant les premiers mois, l’autre problème relevé par Trustnet est la sauvegarde de l’ensemble de la messagerie sur un seul serveur Windows Server. Trustnet évoque également la possibilité que le serveur ait pu être compromis durant les trois premiers mois d’usage durant lesquelles les communications n’étaient pas chiffrées. Dès lors des attaquants auraient pu pénétrer les serveurs et y installer des malwares, rendant le chiffrement postérieur tout à fait inutile. Tout ceci n’est pas avéré mais demeure techniquement possible.

Ajoutons enfin une donnée dont les adversaires politiques (et ils sont nombreux) ne se sont pas privés d’exploiter : c’est que le système « privé » de madame Clinton lui permet théoriquement d’effacer l’ensemble des messages qu’elle ne souhaiterait pas voir divulgués avant de les remettre aux autorités, ce qu’elle s’est – tardivement – engagée à faire.




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI