Sécuriser ses applications : pourquoi et comment réaliser un audit de son parc de certificats numériques ?

À quoi sert un audit de certificats numériques? 

L’objectif principal d’un audit de certificat électronique est de fournir un aperçu détaillé sur les actifs d’une infrastructure. 

L’audit de certificat permet aussi de déterminer tous les émetteurs de certificats au sein d’une infrastructure afin de s’assurer qu’aucun certificat numérique frauduleux ne soit émis. 

Un audit de certificat électronique est généralement composé de plusieurs scans de certificats sur le réseau, les serveurs et les postes d’utilisateurs. 

Un scan de certificats numériques est un balayage de différents services d’une infrastructure pour découvrir tous les certificats utilisés et les répertorier. 

Le résultat d’un scan de certificats numériques doit contenir plusieurs informations sur ces derniers : 

• L’emplacement du certificat électronique sur le système de fichier. 
• L’application utilisant le certificat. 
• Le type de certificat numérique. 
• Date d’expiration. 
• La chaine de confiance. 

Quel type d’audit de certificats numériques effectuer et pour quel résultat ? 

L’audit de certificats implique l’exécution de plusieurs types de scan de certificats électroniques, de plus il est aussi nécessaire de vérifier leur conformité selon les politiques de sécurité de l’entreprise. 

Type de scan de certificats numériques : 

• Scan réseau : 
• Scanner des adresses IP, URLs sur un ou plusieurs ports pour récupérer les certificats. 
• Scan filesystem : 
• Scanner les systèmes de fichiers des serveurs pour récupérer les certificats. 
• Scan d’applications : 
• Parser le(s) fichier(s) de configuration d’une application (serveurs web, serveurs d’application …) pour récupérer les certificats. 

La cartographie du parc de certificats numériques est la première étape du processus de gestion de cycle de vie des certificats numériques. 

Garder une trace des certificats manuellement est possible, mais cela pose plusieurs problèmes. Tout d’abord c’est couteux en termes d’argent, de temps et des ressources humaines. De plus, suivre les certificats sur un tableur peut exposer des risques de sécurités et des risques de pannes liées à l’erreur humaine. Enfin, le suivi manuel de cycle de vie des certificats réduit fortement la scalabilité de l’infrastructure. 

De plus, maintenir une gestion manuelle devient de plus en plus compliqué. Dans chaque organisation nous observons une hausse significative du volume de certificats. En 2020 en France, le nombre de certificats émis a bondi de 73% ! Sans oublier, que la durée de validité d’un certificat numérique tend à se réduire de plus en plus. En prenant en compte, la hausse du volume et la baisse de la durée de vie du certificat, une gestion manuelle devient un véritable casse-tête et une source d’erreurs.  

Les scans de certificats permettent de balayer l’ensemble du réseau de l’entreprise pour identifier et répertorier les certificats numériques utilisés par les nœuds du réseau et ainsi construire un inventaire de certificats.  

Les certificats permettent d’identifier et authentifier les machines ou les personnes d’une organisation. Ils permettent aussi d’établir des canaux sécurisés de communication entre les réseaux interconnectés au sein d’une organisation ou entre plusieurs organisations. 

L’interconnexion des réseaux d’une organisation implique que la sécurité et la disponibilité de l’ensemble du réseau repose sur la sécurité et la disponibilité de chaque nœud, d’où la nécessité de scanner régulièrement l’infrastructure pour assurer le suivi des certificats et la gestion de leurs cycles de vie. 

Pour résumer, un scan de certificats permet : 

• La construction d’un inventaire de certificats. 
• L’identification des serveurs et applications proposant des services sur le réseau. 
• Assurer la sécurité des communications entre les différents nœuds du réseau. 
• Assurer la disponibilité du réseau et des services. 

La construction d’un inventaire de certificats permet la vérification de la conformité du certificat selon les politiques de sécurité de l’entreprise. 

Audit de certificats numériques : que faut-il scanner exactement ? 

Scan réseau : pour scanner les certificats électroniques de serveurs web ou applications

Un scan réseau a pour but de récupérer le(s) certificat(s) exposé(s) par un ou plusieurs serveurs web ou applications. Le scan réseau peut balayer un ou plusieurs ports de services. Le scan réseau repose sur les TLS Handshake pour récupérer les certificats. 

Les serveurs web peuvent être utilisés en deux modes lors d’un scan de certificats  

• Serveur web pour proposer des services ou applications web. 
• Proxy inversé devant une ou plusieurs applications ou services. 

Les serveurs web les plus connus sont : NGINX et APACHE. Les serveurs d’applications exposent la logique métier aux applications client via divers protocoles, y compris éventuellement HTTPS. 

Les serveurs d’application les plus connus sont : JBoss/Wildfly ou Apache Tomcat. 

Un scan de serveur web ou d’application est en réalité un scan des fichiers de configuration pour récupérer les certificats utilises par le serveur web ou d’application. 

Ne pas oublier le scan de répartiteur de charges …

Un répartiteur de charge est généralement installé au sein d’une infrastructure dédiée, physique ou virtuelle. Comme le scan de serveur web, un scan de répartiteur de charges est un scan de configuration pour récupérer les certificats utilisés par le répartiteur de charges. 

Pensez à scanner vos magasins de confiances pour auditer votre parc de certificats numériques

Un magasin de confiance est un bundle de plusieurs certificats d’AC racine en générale (mais peut conteneur des certificats d’AC intermédiaire). 

Un magasin de confiance contient des certificats des d’autorités de certification qui ont singé les certificats des autres parties avec lesquelles les systèmes prévoient de communiquer. Ces autorités de certifications permettent d’identifier et authentifier les autres parties des communications. 

Plusieurs systèmes utilisent les magasins de confiances : 

• Système d’exploitation. 
• Serveurs web/applications. 
• Répartiteurs de charges. 
• Librairies cryptographiques. 
• Bios. 
• Navigateurs web.
• Etc …

Faites l’inventaire de vos certificats numériques avec un scan de système de fichiers. 

Un scan de système de fichier parcourt le système de fichier d’un système d’exploitation pour récupérer et répertorier les certificats. 

Les certificats émis par les autorités de certifications : scanner les répertoires publics des AC. 

Les autorités de certifications publient les certificats émis sur une base de données ou un répertoire public. Il est nécessaire de récupérer ces certificats pour avoir une vue globale sur les certificats émis et leur utilisation dans l’infrastructure. 

Fédérateurs d’identité et serveur d’authentification 

Les fédérateurs d’identité et serveur d’authentification peuvent contenir des certificats des utilisateurs pour les authentifier. 

Comment réaliser un audit de certificats numériques ? Quels sont les outils indispensables ?  

Un scan de certificats réussi nécessite de balayer le réseau de l’organisation et de scanner les différents objets de l’infrastructure : système d’exploitation, serveurs web, les magasins de confiances, les ACs …etc. 

Le résultat de ces scans nous permet de :  

• Construire automatiquement un inventaire de certificats. 
• Avoir une vue globale sur l’utilisation des certificats par les différents services et utilisateurs de l’infrastructure. 
• Assurer la sécurité et la disponibilité des services. 

Il existe plusieurs outils pour faire un scan de certificats, mais malheureusement tous les outils ne permettent pas d’organiser les résultats d’une manière lisible au décideurs (administrateurs, officier de sécurité, RSSI, DSI, …). De plus, le scan ou découverte de certificats représente que la première étape de gestion de cycle de vie des certificats. 

Chez Digitalberry, nous avons lancé un outil CLM (Certificate Lifecycle Management) : BerryCert. C’est comme un Hub de certificats numériques. Il permet entre autres de cartographier le parc de certificats électroniques. Pour cela, BerryCert scanne, découvre, répertorie, analyse les certificats numériques. De ce scan en ressort un inventaire de certificats que l’on peut piloter simplement via un Dashboard offrant une vue globale du parc et des actions à mener.  

BerryCert ne s’arrête pas uniquement à la cartographie, il alerte, pour vous éviter les fameuses interruptions de services liées à un certificat numérique en cours d’expiration. Il simplifie leur gestion : demandes, renouvellements, révocations de certificats électroniques.  

De plus, BerryCert calcule le score de conformité de chaque certificat selon les recommandations des agences de cybersécurité (ANSSI, NSA, NIST …), les différents standards de sécurité (ETSI et eIDAS, ISO 27001 …) et les politiques internes de sécurité.