Décryptage SSL

Le protocole SSL (Secure Sockets Layer) et son remplaçant moderne et plus sécurisé TLS (Transport Layer Security), servent à crypter le trafic Web. Le cryptage des données en transit est une pratique courante, environ 90 % des pages Web étant désormais cryptées. Bien que cela contribue à prévenir les violations de données, les cybercriminels utilisent ces canaux cryptés pour propager des logiciels malveillants et exfiltrer des données, sachant qu’ils peuvent contourner les solutions traditionnelles d’inspection de sécurité qui ne décryptent pas le trafic.

Les outils d’inspection de sécurité tels que les pare-feux de nouvelle génération (NGFW), les systèmes de protection contre la perte de données (DLP), les systèmes de détection/protection contre les intrusions (IDS/IPS), les passerelles Web et autres sont très efficaces pour détecter les menaces dans le trafic. Cependant, ils ne décryptent pas efficacement le trafic avant de l’inspecter. Les outils d’inspection de sécurité ne peuvent donc pas percevoir les menaces cryptées et permettent à des logiciels malveillants ou à des données de propriété intellectuelle de circuler sans être inspectés et stoppés. Le décryptage SSL, également appelé « visibilité SSL », est le processus de décryptage généralisé du trafic pour acheminement vers divers outils d’inspection qui identifient les menaces dans le trafic entrant dans les applications, ainsi dans le trafic sortant depuis les utilisateurs vers Internet.

L’utilisation du cryptage SSL/TLS pour le trafic Web a augmenté de manière spectaculaire pour plusieurs raisons :

• Disponibilité de certificats bon marché ou gratuits : Let’s Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte. Elle est facilement accessible aux exploitants de sites de petite taille pour lesquels le coût était auparavant un obstacle, et aux développeurs de sites/applications qui souhaitent automatiser la mise en œuvre des certificats au sein de leurs applications. Cependant, les criminels peuvent tout aussi bien obtenir les mêmes certificats pour faire paraître leurs faux sites légitimes. Ils utilisent alors ces sites pour des attaques par phishing, man-in-the-middle, empoisonnement de cache DNS, et autres.
• Avertissements pour le navigateur Google Chrome : depuis juillet 2018, les sites Web n’utilisant pas le cryptage SSL/TLS sont automatiquement signalés comme non sécurisés.
• Classement des résultats de recherche Google : Google propose un meilleur classement dans les résultats de recherche pour les sites qui utilisent le cryptage SSL/TLS.
• Sensibilité à la protection de la vie privée des utilisateurs : le grand nombre de violations de données dans l’actualité a accru l’intérêt du public pour la confidentialité des données et des utilisateurs. Des lois et règlements tels que le RGPD de l’Union européenne et la nouvelle loi californienne sur la protection de la confidentialité des consommateurs ont également motivé les entreprises à implémenter SSL/TLS.

Outre la présence de menaces dissimulées dans le cryptage, vous devez être conscient d’autres problématiques lorsque vous concevez ou maintenez une architecture pour inspecter le trafic. Notamment :

• L’augmentation de la complexité : beaucoup d’entreprises utilisent des outils d’inspection de sécurité divers pour trouver et arrêter différents types de menaces. Certains de ces outils ne décryptent pas le trafic, et d’autres ne pas en mesure d’effectuer ce décryptage à l’échelle requise. Il en résulte une architecture d’inspection imprévisible, qui rend plus complexe un acheminement efficace du trafic d’un dispositif à un autre. De plus, les défaillances des outils d’inspection peuvent potentiellement introduire une latence ou des impasses dans le trafic, et le fait d’avoir plusieurs points de décryptage et de cryptage rend toute modification même simple sur un dispositif beaucoup plus complexe, car cela peut affecter toute la chaîne d’inspection.
• L’impact sur les performances : le décryptage et recryptage du trafic sont des opérations exigeantes en temps de processeur, ce qui affecte les performances des dispositifs d’inspection. Ainsi, il arrive souvent qu’une partie seulement du trafic soit inspectée pour y détecter les menaces, tandis que tout trafic au-delà de la limite de calcul d’un outil est transféré sans inspection.
• La cryptographie moderne : sans moyen centralisé de décryptage et de cryptage, l’utilisation d’algorithmes standardisés est difficile à gérer lorsque des changements sont nécessaires. En outre, les entreprises préférant dans la plupart des cas utiliser des algorithmes à confidentialité persistante parfaite, une clé de cryptage ne peut pas être simplement partagée avec des dispositifs d’inspection hors bande pour effectuer une inspection passive.
• Les réglementations sur la confidentialité : l’absence d’une classification du trafic basée sur des politiques ajustables peut entraîner le décryptage de tout le trafic, ce qui peut constituer une atteinte à la vie privée de vos utilisateurs. Bien que le décryptage du trafic soit essentiel pour détecter les logiciels malveillants et autres menaces, le fait d’avoir autant une telle visibilité sur les informations bancaires ou médicales de vos utilisateurs est susceptible de contrevenir aux lois ou règlements.

En appliquant un décryptage par politique et un pilotage à votre trafic entrant et sortant, vous gagnez en visibilité sur le trafic crypté ainsi qu’en efficacité et en résilience de l’ensemble de votre batterie d’outils d’inspection.

Opter pour une solution SSL/TLS offrant une gestion centralisée vous permet de simplifier le processus de choix et de mise à jour des algorithmes de cryptage sécurisant les connexions réseau SSL/TLS. Cela permet d’améliorer les performances de vos outils d’inspection du trafic, tout en offrant une plus grande souplesse dans la gestion des algorithmes que vous utilisez pour le cryptage de bout en bout.