À l’heure où la cybersécurité de l’entreprise passe en grande partie par sa capacité à éviter à ses collaborateurs les pièges d’Internet, le cas de la navigation web est paradoxal : une grande partie des contenus malveillants demeure cachée… par une technologie justement censée protéger l’entreprise !
C’est un véritable paradoxe : le fameux « petit cadenas vert » du navigateur, qui signifie que la communication entre le navigateur web et le serveur est chiffrée, est également détourné par les pirates pour masquer leur activité malveillante.
Car derrière ce « cadenas vert » se trouve en réalité une très efficace technologie de protection des échanges baptisée SSL (Secure Socket Layer). Une approche efficace, donc… et très répandue ! Selon Google[1], en février 2020, près de 90 % de la navigation en France depuis un navigateur Chrome était ainsi protégée par SSL. Les nombreuses campagnes de sensibilisation semblent donc avoir porté leurs fruits et la majorité du trafic web est aujourd’hui protégée contre l’interception facile.
Du point de vue de la vie privée, c’est une très bonne chose. Mais comme tout phénomène d’ampleur, celui-ci a poussé les pirates à s’adapter… et même à en tirer profit ! Car finalement, quoi de mieux pour un pirate qu’un tunnel caché « officiel », qui lui permet d’exfiltrer de la donnée en toute simplicité sans risque d’interception ?
L’une des plus importantes fuites de données de ces dernières années (l’agence américaine OPM) a d’ailleurs été facilitée par l’usage de SSL, qui a permis aux attaquants de faire sortir sans crainte les données personnelles de 2,5 millions d’employés du service public américain.
Comment cela est-il possible ? Parce que SSL fonctionne grâce à un certificat numérique, une preuve d’identité (le plus souvent signée par une autorité) et présentée par le serveur à l’arrivée du navigateur web. Ce certificat contient, entre autres, les éléments mathématiques nécessaires pour créer une clé unique permettant de chiffrer solidement ensuite tout ce qui est échangé entre le navigateur et le serveur en question, afin de le rendre illisible par quiconque tenterait d’y jeter un œil en chemin.
Dans le cas d’OPM, les attaquants avaient tout simplement installé leur propre certificat SSL afin de chiffrer les communications entre leur malware et leur serveur. D’ailleurs, une étude menée en 2018 sur les cinq plus importantes places de marché illégales du Dark Web a montré que la revente de faux certificats SSL est une activité largement plus répandue que celle des pourtant très médiatiques failles « Zero Day ». Preuve en est que les attaquants comptent fermement sur SSL pour protéger leurs activités malveillantes !
L’entreprise doit retrouver de la visibilité
Comment l’entreprise peut-elle alors se protéger ? Elle n’a en définitive guère le choix et doit retrouver de la visibilité sur le trafic web qui sort de son réseau.
Car dans bien des cas, cette visibilité s’arrête au trafic qui transite en clair, qui représente une portion de plus en plus réduite. Cela réduit de fait l’efficacité de toutes les autres mesures de filtrage des flux, telles que les firewall, antivirus, etc., puisque ces dernières seront alors contraintes de laisser passer sans les inspecter l’essentiel des connexions vers Internet, légitimes comme illégitimes.
Pour les petites entreprises dépendantes d’un seul équipement multifonction en passerelle, sans inspection SSL, ce dernier est finalement aveugle sur l’essentiel des flux ! Il aura beau embarquer autant de technologies de sécurité qu’il veut (antivirus, détection d’intrusion, etc.), s’il n’intègre pas l’inspection SSL, celles-ci n’auront en réalité accès qu’à une portion réduite du trafic, et leur efficacité collective en sera alors d’autant plus réduite.
Sans inspection SSL, pas de sécurité efficace
C’est pourquoi l’inspection SSL s’impose désormais comme le socle indispensable d’une politique de sécurité plus large : car elle permet de tirer le meilleur profit de toutes les solutions de filtrage qu’elles soient déployées ou intégrées au sein d’un même équipement.
Le trafic sera alors déchiffré par la solution d’inspection SSL pour y être inspecté (y compris par les autres équipements) à la recherche des signes d’activité malveillante, puis rechiffré grâce au certificat numérique officiel des sites visités sur Internet.
Dans certains cas, si l’entreprise ne s’appuie pas sur un équipement multifonction unique, cela peut impliquer une certaine réorganisation de l’infrastructure (pour créer par exemple une zone unique d’inspection ou toutes les solutions de sécurité auront accès au trafic en clair, avant que la passerelle d’inspection SSL ne rechiffre l’ensemble).
Ainsi, les communications des utilisateurs demeureront protégées au titre du respect de la vie privée (elles seront chiffrées depuis leur navigateur jusqu’à la solution d’inspection SSL, puis de celle-ci jusqu’au serveur demandé) tout en permettant à l’entreprise d’assurer la sécurité de son réseau et de ses utilisateurs.
Une approche gagnant-gagnant, en définitive !
[1] https://transparencyreport.google.com/https/overview?hl=en&time_os_region=chrome-usage:1;series:time;groupby:os&lu=load_os_region&load_os_region=chrome-usage:1;series:page-load;groupby:os