Ressources > Glossaire des termes de sécurité > Qu'est-ce que l'inspection SSL ?

Qu'est-ce que l'inspection SSL ?

Qu'est-ce que l'inspection SSL ?

L'inspection SSL est le processus d'interception et d'analyse des communications Internet chiffrées par SSL entre le client et le serveur. L'inspection du trafic SSL revêt désormais une importance capitale dans la mesure où le trafic Internet est en très grande partie chiffré par SSL, y compris le contenu malveillant.

Zscaler ThreatLabZ a observé en 2018 une augmentation de plus de 400 % des attaques par hameçonnage véhiculées à travers le canal SSL par rapport à l'année 2017. Les hackers continuent à exploiter le canal crypté pour diffuser des programmes malveillants, des activités C&C et pour exfiltrer les informations sensibles de leurs victimes.

Mieux comprendre Zscaler™ Cloud Security : une analyse des menaces basées sur SSL/TLS, 2019

Le positif et le néfaste

Le protocole cryptographique connu sous le nom de Secure Sockets Layer (SSL), initialement développé en 1994, et son successeur Transport Layer Security (TLS) a été conçu pour sécuriser les communications et rasséréner les entreprises quant à leur trafic entrant. Ces dernières années, face aux préoccupations croissantes en matière de confidentialité des données, l'on a observé une ruée massive vers les propriétés Internet dotées d'un chiffrement par défaut. Même s'il s'agit d'une bonne nouvelle pour la confidentialité, cela représente néanmoins un défi pour la sécurité informatique. Déchiffrer, inspecter puis chiffrer à nouveau le trafic est une tâche d'envergure, qui entraîne une dégradation considérable des performances d'appliances de sécurité traditionnelles, et la plupart des entreprises ne sont pas équipées pour inspecter le trafic chiffré à grande échelle.

Les acteurs malveillants le savent et c'est la raison pour laquelle les menaces basées sur SSL sont en augmentation. Bien que les pirates aient trouvé de nombreuses façons d'infiltrer les systèmes et de pirater des données, décoder un chiffrement reste une tâche ardue et fastidieuse, donc une approche inefficace. À la place, ils ont commencé eux-mêmes à utiliser le chiffrement pour transmettre du contenu malicieux, masquer des programmes malveillants et mener des attaques incognito.

Pendant des années, le symbole d'un verrou à côté de l'adresse URL d'un site Web indiquait que le site était sécurisé, mais ce n'est plus une garantie de sécurité. Le trafic transitant par des canaux chiffrés ne devrait pas être considéré comme fiable simplement en vertu d'un certificat numérique. Autrefois perçu comme la protection absolue pour les données transmises sur Internet, le protocole SSL est devenu la cour de récréation par excellence de cybercriminels où ils accomplissent leurs opérations.

 
Près de la moitié de nos magasins utilisent désormais l'interception SSL et nous prévoyons que ce déploiement sera achevé dans quelques mois. Certaines applications de vente au détail n'étant pas compatibles avec l'inspection SSL, nous devions nous assurer que les opérations se poursuivraient sans discontinuer.
Jeff Johnson, directeur des opérations de sécurité, AutoNation
Dès juin 2020, 96 % des pages de Google Chrome aux États-Unis utilisaient le chiffrement (HTTPS).
Rapport Google sur la transparence

Le processus de inspection SSL

Le trafic chiffré représente la majeure partie du trafic d'entreprise, mais de nombreuses organisations n'inspectent qu'une partie de leur trafic chiffré, laissant sans inspection le trafic de réseaux de diffusion de contenu (CDN) et de certains sites dits « fiables ». Mais cela peut être risqué, car les pages Web ne sont pas statiques. Elles sont servies de manière dynamique avec du contenu personnalisé incluant parfois des centaines d'objets obtenus de sources diverses. Chaque objet représente une potentielle menace et devrait être considéré comme non fiable, quelle que soit sa source.

Dans le même temps, les cybercriminels utilisent le chiffrement pour dissimuler leurs exploits. Il est devenu simple (et bon marché) d'obtenir un certificat SSL valide, ce qui permet aux hackers de masquer leur contenu malveillant. L'ampleur est telle que 1,7 milliard de menaces cachées dans le trafic SSL ont été bloquées par Zscaler Cloud en six mois. Si vous laissez du trafic SSL sans inspection, il vous sera impossible de déceler un nombre croissant de menaces potentielles.

Mais comme nous l'avons dit plus haut, il faut de nombreux cycles de calcul pour inspecter le trafic SSL, et l'impact du rendement sur les infrastructures de la société peut être catastrophique. Les entreprises ne pouvant se permettre de paralyser les affaires et les flux de travail n'ont pas d'autres choix que de contourner l'inspection par des appliances prises de vitesse par les demandes de traitement ou le volume.

Ce tableau présente les moyens courants d'inspection du trafic SSL et leurs principales considérations.

Méthode d'inspection SSL

Mode TAP

Pare-feu de nouvelle génération (NGFW)

Proxy

Fonctionnement

Un simple dispositif matériel copie l'ensemble du trafic réseau pour une analyse hors connexion, y compris l'inspection SSL.

Les connexions réseau passent par une appliance NGFW avec une visibilité réduite au niveau des paquets, ce qui limite la détection des menaces.

Deux connexions distinctes sont établies entre le client et le serveur, avec une inspection complète du flux réseau et de la session.

Impact de l'inspection SSL

Matériel : TAP exige de coûteuses appliances (par exemple, des TAP réseau 10G) pour s'assurer que le trafic est copié à plein débit, sans la moindre perte de données.

Il ne peut détecter que de petites portions de programmes malveillants, laissant les autres se déployer en morceaux segmentés. Une fonction proxy (prête à monter) supplémentaire est nécessaire. En général, des pertes de performances sont subies lorsque des fonctionnalités supplémentaires (prévention des menaces par exemple) sont activées.

Il permet de réassembler un objet entier et de l'analyser. Il permet également l'analyse par des moteurs supplémentaires de détection de menaces, tels que sandbox et DLP.

Impact sur ces méthodes lorsque TLS 1.3 est utilisé

L'inspection rétrospective du trafic SSL ne fonctionnera pas en raison de la « Confidentialité persistante » qui nécessite une nouvelle clé pour chaque session SSL et TLS 1.3 qui en fait une obligation.

Cela ajoute à la perte de performance. L'actualisation de l'appliance est nécessaire pour atteindre les performances initiales revendiquées, en raison des plus grandes exigences de performance et d'évolutivité de nouveaux chiffrements TLS 1.3.

L'actualisation de l'appliance est indispensable pour répondre aux besoins de performance et d'évolutivité de nouveaux chiffrements TLS 1.3.

Chiffrement, confidentialité et protection des données: un acte d'équilibre

Lire le livre blanc
Chiffrement, confidentialité et protection des données: un acte d'équilibre

Pile de sécurité Zscaler en tant que service avec inspection SSL illimitée

Lire la fiche technique
Chiffrement, confidentialité et protection des données: un acte d'équilibre

Arguments en faveur de l'inspection du trafic SSL d'entreprise

Lire le blog
Chiffrement, confidentialité et protection des données: un acte d'équilibre

Quelle est l'approche de Zscaler ?

Zscaler Cloud Security Platform permet une inspection SSL complète à l'échelle sans latence ni limites de capacité. En associant l’inspection SSL à la pile de sécurité complète de Zscaler en tant que service cloud, vous bénéficiez d’une protection avancée sans les limites d’inspection des appliances.

Zscaler effectue une analyse complète du contenu entrant et sortant, et offre une capacité illimitée pour inspecter tout votre trafic, y compris le trafic SSL. Chaque utilisateur, peu importe d'où il se connecte, qu'il soit sur le réseau ou en dehors, bénéficie d'une protection identique.

 

Ressources supplémentaires :