Le chiffrement des données: la meilleure « planque » pour les logiciels malveillants

Cropped Favicon Economi Matin.jpg
Par Kevin Bocek Publié le 8 septembre 2016 à 5h00
Cyber Attaques Trafic Crypte Hacker
@shutter - © Economie Matin
75 %75 % des entreprises sont incapables de déceler des pirates derrière

Une nouvelle étude confirme un constat devenu manifeste depuis 1 an : 75 % des entreprises dilapident leurs budgets sécurité, puisqu’elles s’avèrent incapables de déceler les agissements de pirates qui se camouflent derrière du trafic crypté !

(À la limite, preuve est donnée que des professionnels honnêtes sont disposés à admettre les failles qui minent les fondements de leur sécurité.) Sachant que près de la moitié des attaques utilisent du trafic crypté, la prédiction de Gartner selon laquelle 50 % des attaques réseau cibleront les protocoles SSL/TLS d’ici à 2017 est d’ores et déjà réalisée. Cet échec signifie que la plupart des investissements réalisés dans les pare-feu de nouvelle génération, les mécanismes sandbox, l’analyse comportementale et autres systèmes de sécurité le sont tout simplement en pure perte. La tâche ingrate qui consiste à localiser les clés et certificats TLS/SSL et à mener à bien l’inspection SSL a beau s’inscrire au cœur de la cyber-sécurité, cet enjeu demeure négligé.

L’incapacité à décrypter le trafic entrant et inter-réseau est entretenue par le chaos provoqué par le recours aux clés et certificats. C’est nous – professionnels de la sécurité – qui avons créé cet angle mort. Cette étude conjointe entre A10 et Ponemon Institute établit clairement que l’insuffisance des ressources et l’automatisation des contrôles entretiennent une situation quasi-démentielle : nous ne cessons de multiplier les clés et les certificats et de renforcer le cryptage, tout en étant incapables d’y mettre le nez. Comment un administrateur pourrait-il centraliser et maîtriser le nombre croissant de clés et de certificats indispensables au décryptage ? Les entreprises s’en remettent au cryptage par défaut. Certaines initiatives, comme Let’s Encrypt, ont contribué à assurer la gratuité des certificats, créant par là-même un scénario dangereux. Les clients de Venafi indiquent avoir repéré près de 16 500 clés et certificats TLS/SSL NON IDENTIFIÉS, autrement dit du trafic crypté dont ils ignoraient même l’existence. Et ce, alors même que la progression des clés et certificats est de l’ordre d’au moins 20 % en glissement annuel : au moins 23 000 clés et certificats TLS/SSL sont en service dans chacune des 2 000 premières entreprises au monde. Quant au DevOps et au cloud, avec ses microservices et son élasticité, ils ne feront qu’accroître le nombre de clés et de certificats, et accélérer encore le trafic TLS. Le problème empirera forcément avant qu’une embellie ne s’annonce.

Les menaces ne feront que s’amplifier jusqu’à ce que nous déployions les contrôles de sécurité 1) indispensables au décryptage du trafic 2) libérant automatiquement les clés et certificats nécessaires au décryptage. Aucun être humain ne peut à a fois centraliser l’ensemble des clés et certificats utilisés au sein d’une grande structure, assurer leur protection, puis s’occuper de les renouveler avant expiration et de gérer leur remplacement chaque semaine. Même si plusieurs collaborateurs à plein temps se consacrent à ce problème, ils ne seront pas en mesure de localiser la totalité des sessions TLS/SSL et de dresser l’inventaire des clés et certificats existants pour identifier les malwares dissimulés dans du trafic crypté.

Malheureusement, il s’agit là d’un angle mort que nous persistons à vouloir ignorer. Exemple probant de cet aveuglement : l’obligation imposée par l’administration fédérale américaine (le Royaume-Uni a agi de même) de sécuriser les sites web par le protocole HTTPS chiffré au moyen de clés et de certificats d’ici le 31 décembre 2016. Le DSI des États-Unis a défini des règles pour renforcer le cryptage, mais a totalement omis de fournir des directives sur la manière de se défendre contre des pirates se dissimulant au sein de ce nouveau trafic crypté. Jamais ce problème n’a été abordé, ni la façon d’y remédier. Jamais.

L’époque est on ne peut plus favorable aux pirates ! Et malheureusement, même 90 % des DSI sont conscients d’être vulnérables aux attaques dissimulées dans du trafic crypté ET à l’origine de pertes par millions, le tout face à des contrôles de sécurité amorphes et à des pirates qui prennent le dessus ! À nous de corriger cet angle mort, de cesser de nous voiler la face, et de nous convaincre que l’inspection SSL est incontournable. Nous devons être en mesure d’inspecter le trafic et d’automatiser l’émission et la diffusion sécurisées de clés et de certificats pour mettre en lumière le piratage et éliminer de possibles actes de malveillance dissimulés dans du trafic crypté. »

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Kevin Bocek est stratégiste cybersécurité principal chez Venafi.

Aucun commentaire à «Le chiffrement des données: la meilleure « planque » pour les logiciels malveillants»

Laisser un commentaire

* Champs requis