Zpedia / Qu’est-ce que le déchiffrement SSL ?

Qu’est-ce que le déchiffrement SSL ? Le déchiffrement SSL désigne le processus qui consiste à démêler le trafic chiffré pour vérifier s’il contient des cybermenaces dans le cadre d’une procédure d’inspection SSL complète. Il s’agit d’une capacité de sécurité réseau vitale pour les entreprises modernes : en effet, l’écrasante majorité du trafic Web est désormais chiffrée et certains analystes en cybersécurité estiment que plus de 90 % des programmes malveillants peuvent désormais se cacher dans des canaux chiffrés.

Rapport : Comprendre l’état des attaques chiffrées

Pourquoi le déchiffrement SSL est-il important ?

Compte tenu de la popularité croissante du cloud et des applications SaaS, il est de plus en plus probable qu’un fichier ou une chaîne de données particulières circulent sur Internet à un moment ou à un autre. Si ces données sont confidentielles ou sensibles, elles peuvent constituer une cible. Le chiffrement est donc essentiel pour assurer la sécurité des personnes et des données. C’est pourquoi la plupart des navigateurs, des sites Web et des applications cloud chiffrent aujourd’hui les données sortantes et échangent ces données par le biais de connexions chiffrées.

Bien évidemment, cela fonctionne dans les deux sens : si les données sensibles peuvent utiliser le chiffrement pour se cacher, les menaces le peuvent aussi. Un déchiffrement SSL efficace est donc tout aussi essentiel, car il permet à une entreprise d’inspecter entièrement le contenu du trafic déchiffré avant de le bloquer ou de le rechiffrer et lui permettre de poursuivre sa route.

SSL vs. TLS

Clarifions les choses. Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont deux protocoles cryptographiques qui régissent le chiffrement et la transmission de données entre deux points. Alors, quelle est la différence ?

La société Netscape, aujourd’hui disparue, a développé le SSL dans les années 90, publiant SSL 3.0 fin 1996. TLS 1.0, basé sur une version améliorée de SSL 3.0, a vu le jour en 1999. TLS 1.3, publié par l’Internet Engineering Task Force (IETF) en 2018, est la version la plus récente et la plus sécurisée à ce jour. Aujourd’hui, le SSL n’est plus développé ni pris en charge. En 2015, l’IETF a déclaré obsolètes toutes les versions de SSL en raison de leurs vulnérabilités (par exemple, aux attaques MITM ou « man-in-the-middle ») et du manque de fonctionnalités de sécurité critiques.

Malgré cela et des décennies de changements, au-delà d’un sens strictement technique, la plupart des gens disent encore « SSL » comme un mot passe-partout pour les protocoles cryptographiques. En d’autres termes, lorsque vous voyez les acronymes SSL, TLS, SSL/TLS, HTTPS, etc., la plupart du temps, ils signifient tous la même chose. Pour les besoins de cet article, nous allons apporter les précisions nécessaires.

Avantages du déchiffrement SSL

La mise en œuvre du déchiffrement et de l’inspection SSL aide les entreprises modernes à assurer la sécurité de leurs utilisateurs finaux, de leurs clients et de leurs données, en leur permettant de :

  • Prévenir les violations de données en repérant les programmes malveillants cachés et en empêchant les hackers de se faufiler au travers de vos mécanismes de défense
  • Voir et comprendre ce que les employés transmettent à l’extérieur de l’entreprise, intentionnellement ou accidentellement
  • Répondre aux exigences de conformité réglementaire, en veillant à ce que les employés ne mettent pas de données confidentielles en danger
  • Soutenir une stratégie de défense multicouche qui sécurise l’ensemble de l’entreprise

Entre janvier et septembre 2021, Zscaler a bloqué 20,7 milliards de menaces sur HTTPS. Cela représente une augmentation de plus de 314 % par rapport aux 6,6 milliards de menaces bloquées en 2020, un nombre qui était lui-même en augmentation de près de 260 % par rapport à l’année précédente.

ThreatLabz : l’état des attaques chiffrées, 2021

La nécessité du déchiffrement SSL

Malgré l’utilisation croissante du chiffrement, de nombreuses entreprises n’inspectent encore qu’une partie de leur trafic SSL/TLS, tolérant que le trafic des réseaux de diffusion de contenu (CDN) et de certains sites « fiables » ne soit pas inspecté. Cette posture peut se révéler risquée pour différentes raisons :

  • Les pages Web peuvent facilement changer. Certaines peuvent puiser dans plusieurs sources pour afficher des centaines d’objets, chacun d’entre eux devant être considéré comme non fiable, quelle que soit sa source.
  • Les auteurs de malwares recourent souvent au chiffrement pour dissimuler leurs exploits. Avec actuellement plus de 100 autorités de certification dans le monde, obtenir un certificat SSL valide est aisé et peu coûteux.
  • La plupart du trafic est chiffré. À tout moment, environ 70 % du trafic traité par Zscaler Cloud est chiffré, ce qui accentue l’importance de pouvoir déchiffrer le trafic SSL.

Alors, pourquoi ne s’agit-il pas d’une pratique courante ? Tout simplement parce que le déchiffrement, l’inspection et le rechiffrement du trafic SSL exigent un niveau élevé de calcul et que, sans la technologie adéquate, cela peut avoir un impact dévastateur sur les performances de votre réseau. La plupart des entreprises ne peuvent pas se permettre d’interrompre leurs activités et leurs flux de travail. Elles n’ont donc pas d’autre choix que de contourner l’inspection par des appliances qui ne peuvent hélas pas répondre aux demandes de traitement.

Comment fonctionne le déchiffrement SSL

Il existe quelques approches différentes du déchiffrement et de l’inspection SSL. Examinons les plus courantes et les considérations clés pour chacune.

Method of SSL inspection

1

  • Terminal Access Point (TAP) mode

    A simple hardware device copies all network traffic for offline analysis, including SSL inspection.

  • Next-Generation Firewall (NGFW)

    Network connections stream through an NGFW with only packet-level visibility, which limits threat detection.

  • Proxy

    Two separate connections are created between client and server, with full inspection across network flow and sessions.

2

  • Terminal Access Point (TAP) mode

    Expensive hardware (e.g., 10G network TAPs) is required to ensure all traffic is copied at full line rate without data loss.

  • Next-Generation Firewall (NGFW)

    NGFWs only see a fraction of malware, allowing it to be delivered in pieces. They require bolt-on proxy functionality and tend to underperform when key features like threat prevention are enabled.

  • Proxy

    Entire objects can be reassembled and scanned, allowing for scanning by additional threat detection engines, such as sandbox and DLP.

3

  • Terminal Access Point (TAP) mode

    Retrospective SSL inspection no longer works due to “perfect forward secrecy,” which requires new keys for every SSL session.

  • Next-Generation Firewall (NGFW)

    Performance drops notably due to the higher performance and scale requirements of TLS 1.3 ciphers, requiring a hardware upgrade to overcome.

  • Proxy

    In the case of a cloud proxy delivered as a service, no appliance refresh is required on the customer side to meet TLS 1.3 performance and scale needs.

Les bonnes pratiques de déchiffrement SSL

La nécessité de mettre en œuvre une fonction de déchiffrement et d’inspection SSL pour protéger votre entreprise est devenue trop importante pour être ignorée. Néanmoins, certains points importants doivent être pris en compte, plus ou moins techniques, lorsque vous déployez une inspection SSL :

  • Commencez par un petit site ou un laboratoire de test pour vous assurer que votre équipe comprend la fonctionnalité et qu’elle donne les résultats escomptés, avant de la déployer à plus grande échelle.
  • Pour réduire le besoin de dépannage, pensez à mettre à jour vos notifications aux utilisateurs finaux pour les informer de la nouvelle politique d’inspection SSL.
  • (Facultatif) Lorsque vous définissez une politique d’inspection SSL, créez une liste d’URL et de catégories d’URL ainsi que d’applications cloud et de catégories d’applications cloud pour lesquelles les transactions SSL ne seront pas déchiffrées.
  • Dans un premier temps, n’activez l’inspection que pour les catégories à risque : contenu pour adultes et jeux d’argent, par exemple, ou celles qui présentent des risques en termes de confidentialité ou de responsabilité. Ensuite, lorsque vous êtes prêt, activez l’inspection pour toutes les catégories d’URL, à l’exception des finances et de la santé, afin de dissiper les inquiétudes en matière de confidentialité.
  • Tenez compte des applications utilisées par votre entreprise qui reposent sur l’épinglage de certificat, où l’application n’accepte qu’un seul certificat client spécifique. Ces applications peuvent ne pas être compatibles avec l’inspection SSL, vous devrez donc les inclure dans la liste des éléments à ne pas déchiffrer.
  • Activez l’authentification utilisateur pour permettre à votre service d’inspection SSL d’appliquer des politiques utilisateur.

Qu’en est-il des implications de l’inspection SSL sur la confidentialité ?

Le déchiffrement et l’inspection SSL peuvent radicalement améliorer votre hygiène de sécurité, mais ce n’est pas forcément aussi simple que de tout déchiffrer. En fonction de votre secteur d’activité, de votre pays et des lois et réglementations auxquelles vous êtes soumis, il se peut que vous deviez gérer un trafic qui ne doit pas être déchiffré, comme des données médicales ou financières. Dans ce cas, vous devrez configurer des filtres et des politiques pour préserver la confidentialité de ces types de connexions.

Outre les préoccupations légales et réglementaires, votre entreprise devrait généralement inspecter autant de trafic SSL que possible pour réduire les risques et assurer la sécurité de vos utilisateurs et de vos données.

Zscaler et le déchiffrement SSL

La plateforme Zscaler Zero Trust Exchange™ permet une inspection SSL complète à grande échelle, sans latence ni contraintes de capacité. En associant l’inspection SSL à notre pile de sécurité complète en tant que service cloud, vous bénéficiez d’une protection supérieure sans les contraintes associées aux appliances.

Capacité illimitée

Inspectez tout le trafic SSL de vos utilisateurs, sur le réseau ou hors réseau, avec un service qui évolue de manière flexible pour répondre à vos demandes de trafic.

Administration plus légère

Arrêtez de gérer individuellement les certificats sur toutes les passerelles. Les certificats chargés sur Zscaler Cloud sont immédiatement disponibles dans plus de 150 data centers Zscaler dans le monde.

Politique de contrôle granulaire

Garantissez la conformité grâce à la capacité d’exclure le trafic utilisateur chiffré pour les catégories de sites Web sensibles telles que la santé ou les services bancaires.

Sûreté et sécurité

Restez protégé grâce à la prise en charge des dernières suites de chiffrement AES/GCM et DHE pour une confidentialité persistante. Les données utilisateur ne sont jamais stockées dans le cloud.

Gestion simplifiée des certificats

Utilisez nos certificats ou chargez les vôtres. Faites appel à notre API pour changer aisément vos certificats, aussi souvent que nécessaire.

Vous êtes prêt à en apprendre davantage sur la façon dont vous pouvez inspecter le trafic chiffré sans limitations ni appliances coûteuses ? Découvrez comment l’inspection SSL de Zscaler peut vous aider.

Ressources complémentaires