Ressources > Glossaire des termes de sécurité > Qu’est-ce que le déchiffrement SSL ?

Qu’est-ce que le déchiffrement SSL ?

Définition du déchiffrement SSL

Le déchiffrement SSL est le processus qui consiste à démêler le trafic chiffré pour vérifier s’il contient des cybermenaces dans le cadre d’une procédure d’inspection SSL complète. Il s’agit d’une capacité de sécurité réseau vitale pour les entreprises modernes, étant donné que l’écrasante majorité du trafic Web est désormais chiffrée et que certains analystes en cybersécurité estiment que plus de 90 % des programmes malveillants peuvent désormais se cacher dans des canaux chiffrés.

Compte tenu de la popularité croissante du cloud et des applications SaaS, il est de plus en plus probable qu’un fichier ou une chaîne de données particulières circulent sur Internet à un moment ou à un autre. Si ces données sont confidentielles ou sensibles, elles peuvent constituer une cible. Le chiffrement est donc essentiel pour assurer la sécurité des personnes et des données. C’est pourquoi la plupart des navigateurs, des sites Web et des applications cloud chiffrent aujourd’hui les données sortantes et échangent ces données par le biais de connexions chiffrées.

Bien évidemment, cela fonctionne dans les deux sens : si les données sensibles peuvent utiliser le chiffrement pour se cacher, les menaces le peuvent aussi. Un déchiffrement SSL efficace est donc tout aussi essentiel, car il permet à une entreprise d’inspecter entièrement le contenu du trafic déchiffré avant de le bloquer ou de le rechiffrer et lui permettre de poursuivre sa route.

 

SSL vs. TLS

Clarifions les choses. Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont deux protocoles cryptographiques qui régissent le chiffrement et la transmission de données entre deux points. Alors, quelle est la différence ?

La société Netscape, aujourd’hui disparue, a développé le SSL au milieu des années 90, publiant SSL 3.0 fin 1996. TLS 1.0, basé sur une version améliorée de SSL 3.0, a vu le jour en 1999. TLS 1.3, publié par l’Internet Engineering Task Force (IETF) en 2018, est la version la plus récente et la plus sécurisée à ce jour. Aujourd’hui, le SSL n’est plus développé ni pris en charge. En 2015, l’IETF a déclaré toutes les versions de SSL obsolètes en raison de leurs vulnérabilités (par exemple, aux attaques de l’homme du milieu) et du manque de fonctionnalités de sécurité critiques.

Malgré cela et des décennies de changements, au-delà d’un sens strictement technique, la plupart des gens disent encore « SSL » comme un mot passe-partout pour les protocoles cryptographiques. En d’autres termes, lorsque vous voyez les acronymes SSL, TLS, SSL/TLS, HTTPS, etc., la plupart du temps, ils signifient tous la même chose. Pour les besoins de cet article, nous allons apporter les précisions nécessaires.

Avantages du déchiffrement SSL

La mise en œuvre du déchiffrement et de l’inspection SSL aide les entreprises modernes à assurer la sécurité de leurs utilisateurs finaux, de leurs clients et de leurs données, en leur permettant de :

  • Prévenir les violations de données en repérant les programmes malveillants cachés et en empêchant les hackers de se faufiler au travers de vos mécanismes de défense.
  • Voir et comprendre ce que les employés transmettent à l’extérieur de l’entreprise, intentionnellement ou accidentellement.
  • Répondre aux exigences de conformité réglementaire, en veillant à ce que les employés ne mettent pas de données confidentielles en danger.
  • Soutenir une stratégie de défense multicouche qui sécurise l’ensemble de l’entreprise.

Entre janvier et septembre 2021, Zscaler a bloqué 20,7 milliards de menaces sur HTTPS. Cela représente une augmentation de plus de 314 % par rapport aux 6,6 milliards de menaces bloquées en 2020, un nombre qui était lui-même en augmentation de près de 260 % par rapport à l’année précédente.

ThreatLabz : l’état des attaques chiffrées, 2021

La nécessité du déchiffrement SSL

Malgré l’utilisation croissante du chiffrement, de nombreuses entreprises n’inspectent encore qu’une partie de leur trafic SSL/TLS, tolérant que le trafic des réseaux de diffusion de contenu (CDN) et de certains sites « fiables » ne soit pas inspecté. Cela peut être risqué car les pages Web peuvent changer très facilement. Elles sont diffusées de manière dynamique et peuvent puiser dans plusieurs sources pour afficher des centaines d’objets, chacun d’entre eux pouvant représenter une menace et devant être considéré comme non fiable, quelle que soit sa source.

Pendant ce temps, les auteurs de programmes malveillants recourent de plus en plus au chiffrement pour dissimuler leurs exploits. Avec plus de 100 autorités de certification dans le monde aujourd’hui, obtenir un certificat SSL valide est facile et peu coûteux. À tout moment, environ 70 % du trafic traité par Zscaler Cloud est chiffré, ce qui accentue l’importance de pouvoir déchiffrer le trafic SSL.

Alors, pourquoi tout le monde ne le fait-il pas ? Tout simplement parce que le déchiffrement, l’inspection et le rechiffrement du trafic SSL exigent beaucoup de calculs et que, sans la technologie adéquate, cela peut avoir un impact dévastateur sur les performances de votre réseau. La plupart des sociétés ne peuvent pas se permettre d’interrompre leurs activités et leurs flux de travail, elles n’ont donc pas d’autre choix que de contourner l’inspection par des appliances qui ne peuvent hélas pas répondre aux demandes de traitement.
 

Comment fonctionne le déchiffrement SSL

Il existe quelques approches différentes du déchiffrement et de l’inspection SSL. Examinons les plus courantes et les considérations clés pour chacune.

Méthode d’inspection SSL

Mode TAP (Terminal Access Point)

Pare-feu de nouvelle génération (NGFW)

Proxy

Fonctionnement

Un simple dispositif matériel copie l'ensemble du trafic réseau pour une analyse hors connexion, y compris l'inspection SSL.

Les connexions réseau passent par un NGFW avec une visibilité réduite au seul niveau des paquets, ce qui limite la détection des menaces.

Deux connexions distinctes sont établies entre le client et le serveur, avec une inspection complète du flux réseau et de la session.

Impact de l'inspection SSL

Du matériel coûteux (par exemple, des TAPs réseau 10G) est indispensable pour garantir que tout le trafic est copié à plein débit sans perte de données.

Les NGFW ne peuvent détecter que de petites portions de programmes malveillants, laissant les autres se déployer en morceaux. Ils requièrent des fonctionnalités proxy supplémentaires et ont tendance à se montrer moins performants lorsque des fonctions clés comme la prévention des menaces sont activées.

Des objets entiers peuvent être réassemblés et analysés, ce qui permet une analyse par des moteurs de détection des menaces supplémentaires, tels que sandbox et DLP.

Incidence de l’adoption de TLS 1.3

L’inspection SSL rétrospective ne fonctionne plus en raison de la « confidentialité persistante », qui requiert de nouvelles clés pour chaque session SSL.

Les performances diminuent considérablement en raison des plus hautes exigences de performances et d’échelle des chiffrements TLS 1.3, nécessitant une mise à niveau du matériel pour y répondre.

Dans le cas d’un proxy cloud fourni en tant que service, aucune actualisation de l’appliance n’est nécessaire du côté client pour répondre aux besoins de performance et d’échelle de TLS 1.3.

Les bonnes pratiques de déchiffrement SSL

La nécessité de mettre en œuvre une fonction de déchiffrement et d’inspection SSL pour protéger votre entreprise est devenue trop importante pour être ignorée. Néanmoins, certains points importants doivent être pris en compte, plus ou moins techniques, lorsque vous déployez une inspection SSL :

  • Commencez par un petit site ou un laboratoire de test pour vous assurer que votre équipe comprend la fonctionnalité et qu’elle donne les résultats escomptés, avant de la déployer à plus grande échelle.
  • Pour réduire le besoin de dépannage, pensez à mettre à jour vos notifications aux utilisateurs finaux pour les informer de la nouvelle politique d’inspection SSL.
  • (Facultatif) Lorsque vous définissez une politique d’inspection SSL, créez une liste d’URL et de catégories d’URL ainsi que d’applications cloud et de catégories d’applications cloud pour lesquelles les transactions SSL ne seront pas déchiffrées.
  • Dans un premier temps, n’activez l’inspection que pour les catégories à risque : contenu pour adultes et jeux d’argent, par exemple, ou celles qui présentent des risques en termes de confidentialité ou de responsabilité. Ensuite, lorsque vous êtes prêt, activez l’inspection pour toutes les catégories d’URL, à l’exception des finances et de la santé, afin de dissiper les inquiétudes en matière de confidentialité.
  • Tenez compte des applications utilisées par votre entreprise qui reposent sur l’épinglage de certificat, où l’application n’accepte qu’un seul certificat client spécifique. Ces applications peuvent ne pas être compatibles avec l’inspection SSL, vous devrez donc les inclure dans la liste des éléments à ne pas déchiffrer.
  • Activez l’authentification utilisateur pour permettre à votre service d’inspection SSL d’appliquer des politiques utilisateur.

Qu’en est-il des implications de l’inspection SSL sur la confidentialité ?

Le déchiffrement et l’inspection SSL peuvent radicalement améliorer votre hygiène de sécurité, mais ce n’est pas forcément aussi simple que de tout déchiffrer. En fonction de votre secteur d’activité, de votre pays et des lois et réglementations auxquelles vous êtes soumis, il se peut que vous deviez gérer un trafic qui ne doit pas être déchiffré, comme des données médicales ou financières. Dans ce cas, vous devrez configurer des filtres et des politiques pour préserver la confidentialité de ces types de connexions.

Outre les préoccupations légales et réglementaires, votre entreprise devrait généralement inspecter autant de trafic SSL que possible pour réduire les risques et assurer la sécurité de vos utilisateurs et de vos données.

Zscaler et le déchiffrement SSL

La plateforme Zscaler Zero Trust Exchange™ permet une inspection SSL complète à grande échelle, sans latence ni contraintes de capacité. En associant l’inspection SSL à notre pile de sécurité complète en tant que service cloud, vous bénéficiez d’une protection supérieure sans les contraintes associées aux appliances.

Capacité illimitée
Inspectez tout le trafic SSL de vos utilisateurs, sur le réseau ou hors réseau, avec un service qui évolue de manière élastique pour répondre à vos demandes de trafic.

Administration allégée

Arrêtez de gérer individuellement les certificats sur toutes les passerelles. Les certificats chargés sur Zscaler Cloud sont immédiatement disponibles dans plus de 150 data centers Zscaler dans le monde.

Contrôle granulaire des politiques
Garantissez la conformité grâce à la capacité d’exclure le trafic utilisateur chiffré pour les catégories de sites Web sensibles telles que la santé ou les services bancaires.

Sûreté et sécurité
Restez protégé grâce à la prise en charge des dernières suites de chiffrement AES/GCM et DHE pour une confidentialité persistante. Les données utilisateur ne sont jamais stockées dans le cloud.

Gestion simplifiée des certificats
Utilisez nos certificats ou fournissez les vôtres. Utilisez notre API pour changer facilement vos certificats aussi souvent que nécessaire.

 

Vous êtes prêt à en apprendre davantage sur la façon dont vous pouvez inspecter le trafic chiffré sans limitations ni appliances coûteuses ? Découvrez comment l’inspection SSL de Zscaler peut vous aider.

Ressources supplémentaires

Pour en savoir plus sur le déchiffrement et l’inspection SSL, consultez les ressources suivantes :