Le SSL introduit-il des logiciels malveillants dans votre entreprise ?

Nous connaissons tous SSL, cet élément essentiel du kit cryptographique qui protège nos communications en ligne. Il protège les communications entre les navigateurs Web que nous utilisons et les serveurs sur lesquels des sites Web tels que celui-ci sont hébergés. Vous reconnaîtrez un site Web sécurisé grâce au symbole du cadenas ou à l’utilisation de HTTPS dans l’adresse.

Et de manière générale, SSL est une bonne chose. Toute transaction impliquant des informations financières, comme les opérations bancaires ou les achats en ligne, utilise SSL pour préserver la confidentialité de vos informations. Mais récemment, une volonté s’est manifestée pour sécuriser tout le trafic Internet avec SSL, et pas seulement celui qui contient des combinaisons de nom d’utilisateur/mot de passe ou des données financières. Les événements qui font la une des journaux, comme les révélations d'Edward Snowden sur la surveillance de masse à l'échelle mondiale, signifient que de plus en plus d'utilisateurs exigent un cryptage en ligne, et les fournisseurs sont heureux de s'y conformer.

C'est pourquoi son utilisation augmente ; la plupart des sites Web les plus populaires au monde, tels que Google, Amazon et Facebook, ont désormais HTTPS - qui fournit un cryptage SSL - activé par défaut sur tout le trafic. On estime que d’ici la fin 2015, plus de la moitié du trafic Internet mondial sera crypté. (Cela est principalement dû à Netflix, qui représente un pourcentage énorme du trafic Internet et passe au HTTPS.)

Mais s’il ne fait aucun doute que le cryptage du trafic Internet protégera davantage nos données sensibles, il entraîne en réalité des risques accrus pour les entreprises. C’est parce que de nombreux dispositifs de sécurité d’entreprise ne savent pas ce que contient le trafic chiffré, ce qui signifie que les logiciels malveillants peuvent se faufiler sans être détectés.

Les pare-feu, les passerelles Web, les systèmes de prévention des intrusions et bien d’autres peuvent avoir du mal à détecter les logiciels malveillants qui arrivent via le trafic crypté. Cela pourrait s’avérer être un cauchemar pour les entreprises si les cybercriminels pouvaient cacher des logiciels malveillants dans une transaction supposée sécurisée. Et cela fonctionne dans les deux sens : non seulement les logiciels malveillants peuvent arriver sans être détectés, mais ils peuvent également renvoyer des informations sensibles à leur contrôleur dans une transaction cryptée que la plupart des outils de sécurité ne détecteraient pas.

Le malware bancaire Dyre en est un exemple. Selon les rapports , ce logiciel malveillant était capable de voler des informations avant que le cryptage ne soit activé et de les renvoyer au serveur de commande et de contrôle sous le couvert d'un trafic crypté légitime. Le plus important est que la session semble sécurisée car le symbole du cadenas s'affiche, mais en coulisses, des données sensibles sont aspirées.

En fait, n’importe quel site Web douteux peut diffuser des logiciels malveillants et si la session est cryptée, les outils de sécurité ne peuvent pas déterminer le contenu réel de ce trafic, ni sa destination. Des dispositifs tels que le serveur proxy ou la passerelle de filtrage d'URL y sont complètement aveugles.

C’est un problème très réel auquel les entreprises sont confrontées. Les chiffres de Gartner indiquent que moins de 20 % des organisations utilisant des pare-feu, des IPS ou des UTM décryptent le trafic SSL, ce qui signifie que les logiciels malveillants cachés dans le trafic SSL contourneraient ces plateformes de sécurité. Gartner affirme également que d’ici 2017, plus de 50 % des attaques réseau ciblant les entreprises utiliseront SSL pour contourner la sécurité.

Comment les entreprises peuvent-elles s’assurer qu’elles ne sont pas piégées par des logiciels malveillants cachés dans le trafic crypté ? La réponse simple serait de décrypter ce trafic, mais la question est de savoir comment y parvenir sans porter atteinte à la vie privée ou laisser des données sensibles ouvertes aux attaques.

La question est donc de savoir quel trafic doit être décrypté. Si une entreprise fournit du contenu à des utilisateurs externes, elle doit utiliser une sorte de dispositif pour décharger le trafic SSL du serveur, puis insérer une protection dans le flux de trafic. Cela cassera le SSL, mais de manière intelligente ; vous ne voulez pas décrypter une session bancaire mais vous le faites pour une session Facebook.

Les services de sécurité doivent disposer des renseignements nécessaires pour comprendre où va le trafic et ensuite prendre une décision quant à savoir s’il doit être déchiffré ou laissé tel quel. Cela brise le SSL, mais de manière sûre et intelligente.