Les enjeux du déchiffrement SSL
16 mai 2018
3 minutes
Aujourd’hui, la croissance du trafic SSL en entreprise est continu. En conséquence, son déchiffrement est devenu incontournable pour assurer une sécurité optimale de son système d'information. Dans ce contexte, les solutions de protection de Endpoint sont-elles une alternative ?
Le constat
Une tendance qui ne faiblit pas ! Le trafic global Internet chiffré tend à augmenter année après année, NSS LABS prédit que 75% du trafic global en 2019 sera chiffré. Pour information, les estimations étaient de 21% en Juillet 2015 et 40% en Juillet 2016*.
Ceci est dû à plusieurs facteurs dont celui d'obtenir un meilleur référencement Google pour les sites en https. Et bientôt, certains navigateurs indiqueront que tous les sites web en http ne sont pas sécurisés.
Mais la progression continue du recours au chiffrement SSL du trafic réseau des entreprises offre aux cybercriminels de nouvelles possibilités de cacher les logiciels malveillants vis à-vis des outils de protection. En effet, en s’appuyant sur les protocoles SSL ou TLS, ils peuvent chiffrer les communications entre leurs logiciels malveillants et leurs serveurs de « Command & Control » (C&C) et déjouer ainsi les systèmes de détection de malwares dans les flux réseau.
Hausse des menaces en 2017
- Les contenus malveillants distribués via SSL/TLS ont doublé en 6 mois**
- Le nombre de tentatives de phishing par jour reçues via SSL/TLS, a augmenté de 400% par rapport à 2016**
Le contenu malicieux est « caché » dans le trafic SSL
- Selon Gartner, plus de 50% des attaques ont utilisé le chiffrement SSL en 2017
- De nombreuses entreprises n'ont pas la capacité d'analyser tout le contenu chiffré entrant*
Les solutions de sécurité actuelles sont insuffisantes
De nombreuses solutions de protection actuelles ne sont efficaces que si elles ont accès à la visibilité complète du trafic (IPS, antivirus notamment) d’où un besoin évident de déchiffrer les flux SSL.
- Elles sont généralement limitées au trafic web / https au détriment de SMTPS, IMAPS, POP3S, FTPS et plus.
- Elles sont coûteuses et rarement utilisées pour l'inspection SSL en raison d'une dégradation significative de leurs performances
Je veux faire du déchiffrement SSL, quelles difficultés je vais rencontrer ?
Dans le cas où vous choisissez d’effectuer le déchiffrement SSL au niveau du pare-feu, cela va impliquer :
- Une diminution non négligeable de ses performances, jusqu’à 50% de perte sur la capacité de traitement.
- La gestion de sa propre PKI et sa diffusion via un certificat sur l'ensemble des postes afin d’éviter les avertissements de sécurité.
En matière de sécurité, le déchiffrement SSL effectué au sein de l’entreprise s'apparente à une attaque bien connue : celle du "Man-In-The-Middle" (MITM). Le trafic chiffré est intercepté entre le client et le service web Internet.
Mais de nombreuses applications web bloquent le MITM en renforçant leurs certificats grâce notamment au pinning qui permet de certifier une connexion SSL de bout en bout entre un client et un serveur web.
Des sociétés comme Microsoft, Apple, Citrix et Amazon possèdent déjà ce type de certificats.
Tous ces éléments tendent à démontrer que le déchiffrement SSL sur son pare-feu ou son proxy sera de plus en plus compliqué et de moins en moins efficace.
Les solutions de protection de Endpoint peuvent être une alternative
En effet, si nous nous plaçons directement côté poste client, la problématique du chiffrement / déchiffrement ne se pose plus. Les solutions de protection du Endpoint sont désormais fiables et performantes d'un point de vue sécuritaire.
Elles ont pour avantage de permettre désormais des analyses comportementales au niveau du poste et donc de détecter même les nouvelles attaques, les fameuses attaques "zero day".
Cet article fait partie des catégories
Cybersécurité