Qu'est-ce que le décryptage SSL ?

Le protocole SSL (Secure Sockets Layer) et son remplaçant moderne et plus sécurisé, TLS (Transport Layer Security), sont utilisés pour crypter le trafic Web. Le cryptage des données en transit est une pratique courante, environ 90 % des pages Web étant désormais cryptées. Bien que cela contribue à prévenir les violations de données, les cybercriminels utilisent ces canaux cryptés pour propager des logiciels malveillants et exfiltrer des données, sachant qu’ils peuvent contourner les solutions d’inspection de sécurité traditionnelles qui ne décryptent pas le trafic.

Les outils d'inspection de sécurité tels que les pare-feu de nouvelle génération (NGFW), les systèmes de protection contre la perte de données (DLP), les systèmes de détection/protection contre les intrusions (IDS/IPS), les passerelles Web et autres sont très efficaces pour détecter les menaces dans le trafic. Cependant, ils ne décryptent pas efficacement le trafic avant de l’inspecter. Cela rend les outils d’inspection de sécurité aveugles aux menaces cryptées et permet aux logiciels malveillants ou aux données de propriété intellectuelle de circuler sans être inspectés ou arrêtés le cas échéant. Le décryptage SSL, également appelé visibilité SSL, est le processus de décryptage du trafic à grande échelle et de son acheminement vers divers outils d'inspection qui identifient les menaces entrantes vers les applications, ainsi que celles sortantes des utilisateurs vers Internet.

L'utilisation du cryptage SSL/TLS pour le trafic Web a considérablement augmenté pour plusieurs raisons :

• Disponibilité de certificats bon marché ou gratuits : Let’s Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte. Let’s Encrypt est facilement accessible aux petits opérateurs de sites pour qui le coût était auparavant un obstacle, et aux développeurs de sites/applications qui souhaitent automatiser la mise en œuvre de certificats au sein de leurs applications. Cependant, les criminels peuvent tout aussi facilement obtenir les mêmes certificats pour faire paraître leurs faux sites légitimes. Ils utilisent ensuite ces sites pour le phishing, l’attaque de l’homme du milieu, l’empoisonnement du cache DNS et d’autres attaques.
• Avertissements du navigateur Google Chrome : À compter de juillet 2018, les sites Web n'utilisant pas le cryptage SSL/TLS seront automatiquement signalés comme non sécurisés.
• Classement des résultats de recherche Google : Google fournit des classements plus élevés dans les résultats de recherche pour les sites qui utilisent le cryptage SSL/TLS.
• Mettre davantage l’accent sur la confidentialité des utilisateurs : Le grand nombre de violations de données révélées dans l’actualité a accru l’intérêt du public pour les données et la confidentialité des utilisateurs. Les lois et réglementations telles que le RGPD de l’Union européenne et la nouvelle loi californienne sur la protection de la vie privée des consommateurs ont également incité les organisations à mettre en œuvre SSL/TLS.

Outre les menaces qui se cachent dans le chiffrement, vous devez être conscient d’autres défis lors de la conception ou de la maintenance d’une architecture pour inspecter le trafic. Ils comprennent :

• Complexité accrue : De nombreuses entreprises utilisent plusieurs outils d’inspection de sécurité pour trouver et arrêter différents types de menaces. Certains de ces outils ne déchiffrent pas le trafic, et d’autres sont incapables de le déchiffrer à grande échelle. Cela crée une architecture d’inspection imprévisible et rend plus complexe l’acheminement efficace du trafic d’un appareil à un autre. De plus, les défaillances des outils d’inspection peuvent potentiellement introduire de la latence ou des impasses dans le trafic ; et le fait d’avoir plusieurs points de décryptage et de cryptage rend les modifications simples sur un appareil beaucoup plus complexes, car elles peuvent affecter l’ensemble de la chaîne d’inspection.
• Impacts sur les performances : Le décryptage et le recryptage du trafic nécessitent beaucoup de calculs, ce qui peut avoir des répercussions sur les performances des appareils d'inspection. Cela a souvent pour conséquence que seule une partie du trafic est inspectée à la recherche de menaces, tandis que le trafic qui dépasse la limite de calcul d’un outil est transmis sans inspection.
• Cryptographie moderne : Sans un moyen centralisé de décrypter et de crypter, l’utilisation de chiffrements standards est difficile à gérer lorsque des modifications sont nécessaires. De plus, les organisations préférant utiliser des chiffrements à confidentialité continue parfaite dans la plupart des cas, une clé de chiffrement ne peut pas simplement être partagée avec des dispositifs d’inspection hors bande pour effectuer une inspection passive.
• Règlement sur la confidentialité : L’absence de classification du trafic basée sur des politiques personnalisables peut entraîner le décryptage de tout le trafic, ce qui peut violer la confidentialité de vos utilisateurs. Bien que le décryptage du trafic soit essentiel pour détecter les logiciels malveillants et autres menaces, avoir autant de visibilité sur les informations bancaires ou médicales de vos utilisateurs pourrait enfreindre les lois ou les réglementations.

En appliquant le décryptage basé sur des politiques et la direction du trafic à votre trafic entrant et sortant, vous obtenez une visibilité sur le trafic chiffré ainsi qu'une efficacité et une résilience accrues de l'ensemble de votre pile d'outils d'inspection.

En choisissant une solution SSL/TLS qui permet une gestion centralisée, vous pouvez simplifier le processus de choix et de mise à jour des suites de chiffrement qui aident à sécuriser les connexions réseau à l'aide de SSL/TLS. Cela améliore les performances de vos outils de sécurité d'inspection du trafic, tout en permettant une plus grande flexibilité dans la gestion des chiffrements que vous utilisez dans le cryptage de bout en bout.