Arrêt des activités gouvernementales aux États-Unis : des certificats TLS n'ont pas été renouvelés
Et plusieurs sites sont inaccessibles
Le 2019-01-11 15:02:14, par Stéphane le calme, Chroniqueur Actualités
Plus de 80 certificats TLS utilisés par les sites Web du gouvernement américain ont expiré jusqu'à présent sans avoir été renouvelés, laissant certains sites Web inaccessibles au public.
La NASA, le ministère américain de la Justice et la Cour d'appel ne sont que quelques-unes des agences gouvernementales américaines actuellement touchées, selon Netcraft.
Ceci intervient alors que les États-Unis observent un arrêt des activités gouvernementales (government shutdown), une situation politique dans laquelle le Congrès échoue à autoriser suffisamment de fonds pour les opérations gouvernementales. Dans ce cas, l'administration fédérale cesse tout service à la population à l'exception, dans un premier temps, des services dits « essentiels ».
Un arrêt du gouvernement a pour conséquence un nombre élevé d'employés fédéraux mis au chômage temporaire. Le personnel militaire actif, et les employés « essentiels » restent en poste, mais peuvent être payés différemment des barèmes prévus durant la période de chômage, par exemple plus tard.
Envoyé par Netcraft
L’arrêt du gouvernement des États-Unis a pour origine le refus du président américain Donald Trump de signer tout projet de loi budgétaire du gouvernement pour 2019 ne prévoyant pas de financement pour un mur à la frontière mexicaine que Trump a promis pendant sa campagne électorale.
Des centaines de milliers de fonctionnaires ont ainsi été licenciés dans toutes les agences gouvernementales, y compris le personnel chargé de l'assistance informatique et de la cybersécurité.
En conséquence, les sites Web du gouvernement tombent comme des mouches, personne n’étant disponible pour renouveler les certificats TLS.
Les sites Web avec des certificats expirés dans lesquels les administrateurs ont suivi les procédures appropriées et mis en œuvre des stratégies HSTS (HTTP Strict Transport Security) fonctionnant correctement sont définitivement inactifs et les utilisateurs ne peuvent pas accéder à ces portails, pas même pour rechercher des informations de base.
Les sites Web gouvernementaux avec des certificats TLS expirés mais n'ayant pas implémenté HSTS affichent une erreur HTTPS dans les navigateurs des utilisateurs, mais cette erreur peut être contournée pour accéder au site via HTTP.
Envoyé par Netcraft
Ce site Web de la NASA utilise toujours un certificat arrivé à expiration, mais le domaine ne figure pas dans la liste de préchargement HSTS. Les utilisateurs peuvent donc ignorer les avertissements du navigateur et accéder au site.
Le meilleur moment pour lancer une cyberattaque contre les USA par des pays hostiles, selon des experts
Visiter et parcourir du contenu est acceptable, mais les utilisateurs doivent également savoir que tous les sites Web ne seront pas gérés de manière active et qu'aucun employé ne sera disponible pour traiter les demandes ou mettre à jour les sites avec les informations correctes les plus récentes.
L’arrêt des activités du gouvernement a été un désastre sur le front de la cybersécurité jusqu'à présent. Les experts de plusieurs entreprises de cybersécurité ont averti que ce serait le moment idéal pour les pays hostiles de mener des cyberattaques contre le gouvernement américain, car les agences sont en sous-effectif et l'infrastructure informatique laissée en grande partie sans surveillance.
Selon Axios, l'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) nouvellement créée du département de la Sécurité intérieure a perdu 43% de ses effectifs, ce qui représente environ 1 500 employés. L’Institut national des normes et de la technologie, qui met en place et gère de nombreuses normes de sécurité, n’a également gardé que 49 employés sur ses 3 000 employés habituels.
Mais, outre les pertes de personnel, les agences gouvernementales ont également manqué une occasion importante de recruter de nouveaux talents en cybersécurité cet hiver, selon CyberScoop. Aucun représentant de la FTC, du NIST, du département d'État ou de la CISA n'était présent sur les stands lors d'un important événement de recrutement d'étudiants en lien avec le cyber s'est tenu à Washington cette année.
Sources : NetCraft, Axios, CyberScoop
Voir aussi :
USA : les personnes âgées de plus de 65 ans sont les plus susceptibles de partager des fake news, selon une étude
Le « développeur logiciel » classé meilleur métier de l'année 2019 aux USA, grâce à une demande future en hausse et un niveau de stress moyen
De nouveaux documents lieraient Huawei à des sociétés écran présumées en Iran et en Syrie, le bras de fer entre les USA et la Chine continue
Les États-Unis veulent des drones autonomes alimentés par l'IA qui pourront décider seul de tuer en recourant à des algorithmes d'autoapprentissage
Voici 6 raisons pour lesquelles Huawei donne aux États-Unis et à ses alliés des cauchemars en matière de sécurité informatique
La NASA, le ministère américain de la Justice et la Cour d'appel ne sont que quelques-unes des agences gouvernementales américaines actuellement touchées, selon Netcraft.
Ceci intervient alors que les États-Unis observent un arrêt des activités gouvernementales (government shutdown), une situation politique dans laquelle le Congrès échoue à autoriser suffisamment de fonds pour les opérations gouvernementales. Dans ce cas, l'administration fédérale cesse tout service à la population à l'exception, dans un premier temps, des services dits « essentiels ».
Un arrêt du gouvernement a pour conséquence un nombre élevé d'employés fédéraux mis au chômage temporaire. Le personnel militaire actif, et les employés « essentiels » restent en poste, mais peuvent être payés différemment des barèmes prévus durant la période de chômage, par exemple plus tard.
L’arrêt du gouvernement des États-Unis a pour origine le refus du président américain Donald Trump de signer tout projet de loi budgétaire du gouvernement pour 2019 ne prévoyant pas de financement pour un mur à la frontière mexicaine que Trump a promis pendant sa campagne électorale.
Des centaines de milliers de fonctionnaires ont ainsi été licenciés dans toutes les agences gouvernementales, y compris le personnel chargé de l'assistance informatique et de la cybersécurité.
En conséquence, les sites Web du gouvernement tombent comme des mouches, personne n’étant disponible pour renouveler les certificats TLS.
Les sites Web avec des certificats expirés dans lesquels les administrateurs ont suivi les procédures appropriées et mis en œuvre des stratégies HSTS (HTTP Strict Transport Security) fonctionnant correctement sont définitivement inactifs et les utilisateurs ne peuvent pas accéder à ces portails, pas même pour rechercher des informations de base.
Les sites Web gouvernementaux avec des certificats TLS expirés mais n'ayant pas implémenté HSTS affichent une erreur HTTPS dans les navigateurs des utilisateurs, mais cette erreur peut être contournée pour accéder au site via HTTP.
Ce site Web de la NASA utilise toujours un certificat arrivé à expiration, mais le domaine ne figure pas dans la liste de préchargement HSTS. Les utilisateurs peuvent donc ignorer les avertissements du navigateur et accéder au site.
Le meilleur moment pour lancer une cyberattaque contre les USA par des pays hostiles, selon des experts
Visiter et parcourir du contenu est acceptable, mais les utilisateurs doivent également savoir que tous les sites Web ne seront pas gérés de manière active et qu'aucun employé ne sera disponible pour traiter les demandes ou mettre à jour les sites avec les informations correctes les plus récentes.
L’arrêt des activités du gouvernement a été un désastre sur le front de la cybersécurité jusqu'à présent. Les experts de plusieurs entreprises de cybersécurité ont averti que ce serait le moment idéal pour les pays hostiles de mener des cyberattaques contre le gouvernement américain, car les agences sont en sous-effectif et l'infrastructure informatique laissée en grande partie sans surveillance.
Selon Axios, l'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) nouvellement créée du département de la Sécurité intérieure a perdu 43% de ses effectifs, ce qui représente environ 1 500 employés. L’Institut national des normes et de la technologie, qui met en place et gère de nombreuses normes de sécurité, n’a également gardé que 49 employés sur ses 3 000 employés habituels.
Mais, outre les pertes de personnel, les agences gouvernementales ont également manqué une occasion importante de recruter de nouveaux talents en cybersécurité cet hiver, selon CyberScoop. Aucun représentant de la FTC, du NIST, du département d'État ou de la CISA n'était présent sur les stands lors d'un important événement de recrutement d'étudiants en lien avec le cyber s'est tenu à Washington cette année.
Sources : NetCraft, Axios, CyberScoop
Voir aussi :
-
tanaka59InactifUne chose qui est plutôt bonne chez M'sieur Trump c'est quand il prend un engagement il s'y tient. Contrairement à nos énarques européens qui font l'inverse ...
Je me doute qu'un shutdown serait particulièrement tout aussi catastrophique en Europe.le 12/01/2019 à 13:13 -
SodiumMembre extrêmement actifIl faut croire que la stratégie du bambin qui chuine et refuse de faire quoi que ce tant qu'on n'a pas eu sa panade fonctionne aux USAle 11/01/2019 à 17:38
-
tanaka59InactifJe suis entièrement d'accord avec la politique de M'sieur Trompe est tout a fait discutablele 12/01/2019 à 16:46
-
psychadelicExpert confirméNormalement, le 17 Janvier devait partir le premier essai de la capsule Dragon de spaceX.
Cette capsule devrait permettre a la Nasa de se passer des service du Soyouz pour accéder à l'ISS.
Mais -en partie- à cause du shutdown de Trump, ce vol de test est reporté pour Février, à minima...le 15/01/2019 à 0:33 -
SodiumMembre extrêmement actifLa stratégie de Trump est des plus cohérente : faire chier le peuple un maximum jusqu'à ce que celui-ci se retourne contre les démocrates et forcent ceux-ci à valider son projet délirant et inutile de mur à la frontière.le 11/01/2019 à 15:48
-
sergio_is_backExpert confirméChercher de la cohérence chez Trump cela relève de la chimère... Comme le démontre ses relations avec son "meilleur" ami Kim Jong Un, un an auparavant c'était un petit gros qu'il affublait du surnom de "Rocket man" en public et pire en privé...le 11/01/2019 à 16:01
-
ItachiaurionMembre confirméje croyais que les postes stratégique vitaux étais épargné par le shutdown? Ou cela voudrais dire que la cybersécurité n'est pas un de ces postes stratégiques vital pour le gouvernement? C'est assez navrant si c'est le cas.le 12/01/2019 à 11:29
-
CoderInTheDarkMembre émériteIl devrait demandé aux chinois.
Ils vont lui faire un prix cassé
Ils ont de l'expérience avec leur grande muraille
Ah oui j'oubliais il aussi fâché avec eux
"Les cons ça ose tout c'est même à ça que on les reconnait."
Et lui il ose
Demander aux mécicain de payer
Dire que les criminels viennent forcément du sud
Il oublie aussi que les armes qui tuent aux Méxique viennent souvent des US
Et les fonctionnaires américains qui doivent payer leurs loyers, ils ne se révoltent pas ?
Là il y ayrait de quoi sortir sa Yellow vestle 13/01/2019 à 18:33 -
SodiumMembre extrêmement actifBelle stratégie de Trump que de continuer à rendre ses astronautes dépendants des Russesle 15/01/2019 à 11:39
-
SodiumMembre extrêmement actifAlors déjà son engament c'était que le mur allait être financé par le Mexique, ensuite tenir des engagements particulièrement stupides et destructeurs pour l'économie du pays n'est pas particulièrement à son honneur...le 12/01/2019 à 13:51