Ressources > Glossaire des termes de sécurité > Qu'est-ce que l'inspection SSL ?

Qu'est-ce que l'inspection SSL ?

 

Définition de l’inspection SSL

L’inspection SSL est le processus d’interception et d’analyse des communications Internet chiffrées par SSL entre le client et le serveur. L’inspection du trafic SSL revêt désormais une importance capitale dans la mesure où le trafic Internet est en très grande partie chiffré par SSL, y compris le contenu malveillant.

Le chiffrement SSL brouille les données, les rendant illisibles jusqu’à leur déchiffrement. Cette couche de sécurité supplémentaire permet de protéger les informations sensibles, mais elle peut également dissimuler des communications malveillantes qui jouent un rôle dans des cyberattaques telles que l’hameçonnage, les violations de données, les dénis de service distribués (DDoS), et bien d’autres.

En bref, le même outil qui confère la sécurité peut également alimenter l’insécurité. Si les données sensibles peuvent se dissimuler dans le trafic HTTPS, les menaces le peuvent également. L’inspection SSL est donc essentielle pour qu’une entreprise puisse inspecter entièrement le contenu du trafic chiffré avant de le bloquer ou de le rechiffrer pour lui permettre de poursuivre sa route.

Entre janvier et septembre 2021, Zscaler a bloqué 20,7 milliards de menaces sur HTTPS. Cela représente une augmentation de plus de 314 % par rapport aux 6,6 milliards de menaces bloquées en 2020, un nombre qui était lui-même en augmentation de près de 260 % par rapport à l’année précédente.

ThreatLabz : l’état des attaques chiffrées, 2021

SSL vs. TLS

Clarifions les choses. Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont deux protocoles cryptographiques qui régissent le chiffrement et la transmission de données entre deux points. Alors, quelle est la différence ?

La société Netscape, aujourd’hui disparue, a développé le SSL au milieu des années 90, publiant SSL 3.0 fin 1996. TLS 1.0, basé sur une version améliorée de SSL 3.0, a vu le jour en 1999. TLS 1.3, publié par l’Internet Engineering Task Force (IETF) en 2018, est la version la plus récente et la plus sécurisée à ce jour. Aujourd’hui, le SSL n’est plus développé ni pris en charge. En 2015, l’IETF a déclaré toutes les versions de SSL obsolètes en raison de leurs vulnérabilités (par exemple, aux attaques de l’homme du milieu) et du manque de fonctionnalités de sécurité critiques.

Malgré cela et des décennies de changements, au-delà d’un sens strictement technique, la plupart des gens disent encore « SSL » comme un mot passe-partout pour les protocoles cryptographiques. En d’autres termes, lorsque vous voyez les acronymes SSL, TLS, SSL/TLS, HTTPS, etc., la plupart du temps, ils signifient tous la même chose. Pour les besoins de cet article, nous allons apporter les précisions nécessaires.

 

Avantages de l’inspection SSL

Un certificat SSL peut conférer confiance et autorité, mais lorsque des acteurs malveillants dissimulent leurs attaques dans le trafic et les canaux chiffrés, ils utilisent à leur avantage le pouvoir du chiffrement et brisent les chaînes de cette confiance. C’est pourquoi les entreprises modernes doivent instaurer l’inspection SSL pour assurer la sécurité de leurs utilisateurs finaux, de leurs clients et de leurs données.

L’inspection SSL peut aider les entreprises modernes à :

  • Prévenir les violations de données en repérant les programmes malveillants cachés et en empêchant les hackers de se faufiler au travers de vos mécanismes de défense.
  • Identifier ce que les employés envoient à l’extérieur de l’entreprise, intentionnellement ou accidentellement, et réagir en conséquence.
  • Répondre aux exigences de conformité réglementaire, en veillant à ce que les employés ne mettent pas de données confidentielles en danger.
  • Soutenir une stratégie de défense multicouche qui sécurise l’ensemble de l’entreprise.

Chiffrement, confidentialité et protection des données: un acte d'équilibre

Lire le livre blanc
Chiffrement, confidentialité et protection des données: un acte d'équilibre

Pile de sécurité Zscaler en tant que service avec inspection SSL illimitée

Lire la fiche technique
Chiffrement, confidentialité et protection des données: un acte d'équilibre

Arguments en faveur de l'inspection du trafic SSL d'entreprise

Lire l’article de blog
Chiffrement, confidentialité et protection des données: un acte d'équilibre

La nécessité d’une inspection SSL

Considérez ceci  : l’écrasante majorité du trafic web est désormais chiffrée et certains analystes en cybersécurité estiment que plus de 90 % des programmes malveillants peuvent désormais se cacher dans des canaux chiffrés.

Compte tenu de la popularité actuelle des applications SaaS et du cloud, davantage de données transitent sur Internet, plus souvent, ce qui les expose à un plus grand risque. Le chiffrement est par conséquent un élément essentiel de la sécurisation des données confidentielles et sensibles. C’est pourquoi la plupart des navigateurs, des serveurs web et des applications cloud chiffrent aujourd’hui les données sortantes et échangent ces données par le biais de connexions HTTPS.

Malgré l’utilisation croissante du chiffrement, de nombreuses entreprises n’effectuent encore qu’une inspection SSL/TLS sur une partie de leur trafic et néglige le trafic provenant de certaines sources « fiables ». Étant donné le caractère versatile d’Internet, cela peut s’avérer risqué. Les sites web, par exemple, peuvent puiser dynamiquement dans plusieurs sources pour afficher des centaines d’objets, chacun d’entre eux pouvant constituer une menace.

Parallèlement, les auteurs de programmes malveillants recourent de plus en plus au chiffrement pour dissimuler leurs exploits. Avec plus de 100 autorités de certification SSL dans le monde aujourd’hui, obtenir un certificat signé valide est simple et peu coûteux. À tout moment, environ 70 % du trafic traité par Zscaler Cloud est chiffré, ce qui souligne l’importance de pouvoir déchiffrer le trafic SSL entrant et sortant.

Alors, pourquoi tout le monde ne le fait-il pas ? Tout simplement parce que le déchiffrement, l’inspection et le rechiffrement du trafic SSL sont des opérations à forte intensité de calcul et que, sans la technologie adéquate, ce processus peut avoir un impact dévastateur sur les performances de votre réseau. La plupart des entreprises ne peuvent pas se permettre d’interrompre leurs activités et leurs flux de travail, elles n’ont donc pas d’autre choix que de contourner l’inspection HTTPS par des appliances qui ne peuvent hélas pas répondre aux demandes de traitement.

 

Le chiffrement et le panorama des menaces modernes

En raison des préoccupations croissantes concernant la confidentialité des données ces dernières années, la tendance est au chiffrement par défaut. C’est une excellente chose pour la confidentialité, mais les exigences techniques — et dans de nombreux cas, le prix du matériel nécessaire — sont trop élevées pour de nombreuses entreprises. Par conséquent, ces entreprises ne sont pas armées pour inspecter le trafic chiffré à grande échelle.

Les acteurs malveillants le savent, c’est pourquoi les menaces basées sur le SSL sont en augmentation. Bien que les hackers aient trouvé de nombreuses façons d’infiltrer les systèmes et de dérober des données, casser un chiffrement reste une tâche ardue et fastidieuse. Au lieu de cela, ils ont commencé à utiliser le chiffrement à leur avantage pour servir du contenu malveillant, dissimuler des programmes malveillants et mener des attaques sans être détectés.

 

La certification n’est pas la panacée

Pendant des années, le symbole d’un cadenas à côté de l’adresse URL d’un site web indiquait que le site était sécurisé, mais ce n’est plus une garantie de sécurité. Le trafic transitant par des canaux chiffrés ne devrait pas être considéré comme fiable simplement en vertu d’un certificat numérique. Autrefois considéré comme le moyen ultime de sécuriser les données transmises sur Internet, le SSL est devenu un outil de plus dans le kit du cybercriminel.

 

Comment fonctionne l’inspection SSL ?

Il existe quelques approches différentes de l’interception, du déchiffrement et de l’inspection SSL, chacune ayant des exigences de configuration et des moyens uniques de traiter les connexions SSL. Examinons les plus courantes.

Méthode d'inspection SSL

Mode TAP (Terminal Access Point)

Pare-feu de nouvelle génération (NGFW)

Proxy

Fonctionnement

Un simple dispositif matériel copie l’ensemble du trafic réseau pour une analyse hors connexion, y compris l’inspection SSL.

Les connexions réseau passent par un NGFW avec une visibilité réduite au seul niveau des paquets, ce qui limite la détection des menaces.

Deux connexions distinctes sont établies entre le client et le serveur, avec une inspection complète du flux réseau et de la session.

Impact de l'inspection SSL

Du matériel coûteux (par exemple, des TAPs réseau 10G) est indispensable pour garantir que tout le trafic est copié à plein débit sans perte de données.

Les NGFW ne peuvent détecter que de petites portions de programmes malveillants, laissant les autres se déployer en morceaux. Ils requièrent des fonctionnalités proxy supplémentaires et ont tendance à se montrer moins performants lorsque des fonctions clés comme la prévention des menaces sont activées.

Des objets entiers peuvent être réassemblés et analysés, ce qui permet une analyse par des moteurs de détection des menaces supplémentaires, tels que sandbox et DLP.

Impact sur ces méthodes lorsque TLS 1.3 est utilisé

L’inspection SSL rétrospective ne fonctionne plus en raison de la « confidentialité persistante », qui requiert de nouvelles clés pour chaque session SSL.

Les performances diminuent considérablement en raison des plus hautes exigences de performances et d’échelle des chiffrements TLS 1.3, nécessitant une mise à niveau du matériel pour y répondre.

Dans le cas d’un proxy cloud fourni en tant que service, aucune actualisation de l’appliance n’est nécessaire du côté client pour répondre aux besoins de performance et d’échelle de TLS 1.3.

Pour une explication plus spécifique, nous pouvons examiner plus en détail son fonctionnement sur la plateforme Zscaler. Lorsque vous activez l’inspection SSL avec Zscaler, le processus ressemble à ceci :

  1. Un utilisateur ouvre un navigateur et envoie une demande HTTPS.

  2. Le service Zscaler intercepte la demande HTTPS. Grâce à un tunnel SSL différent, le service envoie sa propre demande HTTPS au serveur de destination et mène les négociations SSL.

  3. Le serveur de destination envoie au service Zscaler son certificat avec sa clé publique.

  4. Le service Zscaler et le serveur de destination terminent la négociation SSL. Les données d'application et les messages suivants sont envoyés via le tunnel SSL.

  5. Le service Zscaler conduit les négociations SSL avec le navigateur de l’utilisateur. Il envoie au navigateur le certificat intermédiaire Zscaler ou la racine intermédiaire personnalisée de votre organisation ainsi qu'un certificat de serveur signé par l'autorité de certification intermédiaire Zscaler. Le navigateur valide la chaîne de certificats dans la liste de certificats du navigateur.

  6. Le service Zscaler et le navigateur terminent la négociation SSL. Les données d'application et les messages suivants sont envoyés via le tunnel SSL.

 

Zscaler et l'inspection SSL

Zscaler Zero Trust Exchange™ fournit une inspection SSL complète en tant que fonctionnalité native de notre pile de sécurité fournie dans le cloud. Vous bénéficiez ainsi d’une sécurité cloud supérieure et agile à grande échelle, sans les contraintes des appliances traditionnelles.

L’inspection SSL avec le plus grand cloud de sécurité du monde vous offre :

Capacité illimitée
Inspectez tout le trafic SSL de vos utilisateurs, sur le réseau ou hors réseau, avec un service qui évolue de manière élastique pour répondre à vos demandes de trafic.

Administration allégée

Arrêtez de gérer individuellement les certificats sur toutes les passerelles. Les certificats chargés sur Zscaler Cloud sont immédiatement disponibles dans plus de 150 data centers Zscaler dans le monde.

Contrôle granulaire des politiques
Garantissez la conformité grâce à la capacité d’exclure le trafic utilisateur chiffré pour les catégories de sites Web sensibles telles que la santé ou les services bancaires.

Sûreté et sécurité
Restez protégé grâce à la prise en charge des dernières suites de chiffrement AES/GCM et DHE pour une confidentialité persistante. Les données utilisateur ne sont jamais stockées dans le cloud.

Gestion simplifiée des certificats
Utilisez nos certificats ou fournissez les vôtres. Utilisez notre API pour changer facilement vos certificats aussi souvent que nécessaire.

 

Vous êtes prêt à en apprendre davantage sur la façon dont vous pouvez inspecter le trafic chiffré sans limitations ni appliances coûteuses ? Découvrez comment l’inspection SSL de Zscaler peut vous aider.