Zpedia 

/ Qu’est-ce que le déchiffrement SSL ?

Qu’est-ce que le déchiffrement SSL ?

Le déchiffrement SSL désigne le processus qui consiste à démêler le trafic chiffré pour vérifier s’il contient des cybermenaces dans le cadre d’une procédure d’inspection SSL complète. Il s’agit d’une capacité de sécurité réseau vitale pour les entreprises modernes : en effet, l’écrasante majorité du trafic Web est désormais chiffrée et certains analystes en cybersécurité estiment que plus de 90 % des programmes malveillants peuvent désormais se cacher dans des canaux chiffrés.

Pourquoi le déchiffrement SSL est-il important ?

Compte tenu de la popularité croissante du cloud et des applications SaaS, il est de plus en plus probable qu’un fichier ou une chaîne de données particulières circulent sur Internet à un moment ou à un autre. Si ces données sont confidentielles ou sensibles, elles peuvent constituer une cible. Le chiffrement est donc essentiel pour assurer la sécurité des personnes et des données. C’est pourquoi la plupart des navigateurs, des sites Web et des applications cloud chiffrent aujourd’hui les données sortantes et échangent ces données par le biais de connexions chiffrées.

Bien évidemment, cela fonctionne dans les deux sens : si les données sensibles peuvent utiliser le chiffrement pour se cacher, les menaces le peuvent aussi. Un déchiffrement SSL efficace est donc tout aussi essentiel, car il permet à une entreprise d’inspecter entièrement le contenu du trafic déchiffré avant de le bloquer ou de le rechiffrer et lui permettre de poursuivre sa route.

SSL et TLS

Clarifions les choses. Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont deux protocoles cryptographiques qui régissent le chiffrement et la transmission de données entre deux points. Alors, quelle est la différence ?

La société Netscape, aujourd’hui disparue, a développé le SSL dans les années 90, publiant SSL 3.0 fin 1996. TLS 1.0, basé sur une version améliorée de SSL 3.0, a vu le jour en 1999. TLS 1.3, publié par l’Internet Engineering Task Force (IETF) en 2018, est la version la plus récente et la plus sécurisée à ce jour. Aujourd’hui, le SSL n’est plus développé ni pris en charge. En 2015, l’IETF a déclaré obsolètes toutes les versions de SSL en raison de leurs vulnérabilités (par exemple, aux attaques MITM ou « man-in-the-middle ») et du manque de fonctionnalités de sécurité critiques.

Malgré cela et des décennies de changements, au-delà d’un sens strictement technique, la plupart des gens disent encore « SSL » comme un mot passe-partout pour les protocoles cryptographiques. En d’autres termes, lorsque vous voyez les acronymes SSL, TLS, SSL/TLS, HTTPS, etc., la plupart du temps, ils signifient tous la même chose. Pour les besoins de cet article, nous allons apporter les précisions nécessaires.

Avantages du déchiffrement SSL

La mise en œuvre du déchiffrement et de l’inspection SSL aide les entreprises modernes à assurer la sécurité de leurs utilisateurs finaux, de leurs clients et de leurs données, en leur permettant de :

  • Prévenir les violations de données en repérant les programmes malveillants cachés et en empêchant les hackers de se faufiler au travers de vos mécanismes de défense
  • Voir et comprendre ce que les employés transmettent à l’extérieur de l’entreprise, intentionnellement ou accidentellement
  • Répondre aux exigences de conformité réglementaire, en veillant à ce que les employés ne mettent pas de données confidentielles en danger
  • Soutenir une stratégie de défense multicouche qui sécurise l’ensemble de l’entreprise

Citation

Entre octobre 2022 et septembre 2023, Zscaler Cloud a neutralisé 29,8 milliards d’attaques intégrées dans un flux chiffré (SSL/TLS). Cela représente une hausse de 24,3 % par rapport à l’année 2022, qui avait elle-même connu une augmentation de 20 % par rapport à l’année précédente.

zscaler threatLabz

Nécessité du déchiffrement SSL

Malgré l’utilisation croissante du chiffrement, de nombreuses entreprises n’inspectent encore qu’une partie de leur trafic SSL/TLS, tolérant que le trafic des réseaux de diffusion de contenu (CDN) et de certains sites « fiables » ne soit pas inspecté. Cette posture peut se révéler risquée pour différentes raisons :

  • Les pages Web peuvent facilement changer. Certaines peuvent puiser dans plusieurs sources pour afficher des centaines d’objets, chacun d’entre eux devant être considéré comme non fiable, quelle que soit sa source.
  • Les auteurs de malwares recourent souvent au chiffrement pour dissimuler leurs exploits. Avec actuellement plus de 100 autorités de certification dans le monde, obtenir un certificat SSL valide est aisé et peu coûteux.
  • La plupart du trafic est chiffré. À tout moment, environ 70 % du trafic traité par Zscaler Cloud est chiffré, ce qui accentue l’importance de pouvoir déchiffrer le trafic SSL.

Alors, pourquoi ne s’agit-il pas d’une pratique courante ? Tout simplement parce que le déchiffrement, l’inspection et le rechiffrement du trafic SSL exigent un niveau élevé de calcul et que, sans la technologie adéquate, cela peut avoir un impact dévastateur sur les performances de votre réseau. La plupart des entreprises ne peuvent pas se permettre d’interrompre leurs activités et leurs flux de travail. Elles n’ont donc pas d’autre choix que de contourner l’inspection par des appliances qui ne peuvent hélas pas répondre aux demandes de traitement.

Comment fonctionne le déchiffrement SSL

Il existe quelques approches différentes du déchiffrement et de l’inspection SSL. Examinons les plus courantes et les considérations clés pour chacune.

Méthode d'inspection SSL

Mode TAP (Terminal Access Point)

Pare-feu de nouvelle génération (NGFW)

Proxy

Un simple dispositif matériel copie l'ensemble du trafic réseau pour une analyse hors connexion, y compris l'inspection SSL.

Les connexions réseau passent par un NGFW avec une visibilité réduite au seul niveau des paquets, ce qui limite la détection des menaces.

Deux connexions distinctes sont établies entre le client et le serveur, avec une inspection complète du flux réseau et de la session.

Du matériel coûteux (par exemple, des TAPs réseau 10G) est indispensable pour garantir que tout le trafic est copié à plein débit sans perte de données.

Les NGFW ne peuvent détecter que de petites portions de programmes malveillants, laissant les autres se déployer en morceaux. Ils requièrent des fonctionnalités proxy supplémentaires et ont tendance à se montrer moins performants lorsque des fonctions clés comme la prévention des menaces sont activées.

Des objets entiers peuvent être réassemblés et analysés, ce qui permet une analyse par des moteurs de détection des menaces supplémentaires, tels que sandbox et DLP.

L’inspection SSL rétrospective ne fonctionne plus en raison de la « confidentialité persistante », qui requiert de nouvelles clés pour chaque session SSL.

Les performances diminuent considérablement en raison des plus hautes exigences de performances et d’échelle des chiffrements TLS 1.3, nécessitant une mise à niveau du matériel pour y répondre.

Dans le cas d’un proxy cloud fourni en tant que service, aucune actualisation de l’appliance n’est nécessaire du côté client pour répondre aux besoins de performance et d’échelle de TLS 1.3.

Bonnes pratiques de déchiffrement SSL

La nécessité de mettre en œuvre une fonction de déchiffrement et d’inspection SSL pour protéger votre entreprise est devenue trop importante pour être ignorée. Néanmoins, certains points importants doivent être pris en compte, plus ou moins techniques, lorsque vous déployez une inspection SSL :

  • Commencez par un petit site ou un laboratoire de test pour vous assurer que votre équipe comprend la fonctionnalité et qu’elle donne les résultats escomptés, avant de la déployer à plus grande échelle.
  • Pour réduire le besoin de dépannage, pensez à mettre à jour vos notifications aux utilisateurs finaux pour les informer de la nouvelle politique d’inspection SSL.
  • (Facultatif) Lorsque vous définissez une politique d’inspection SSL, créez une liste d’URL et de catégories d’URL ainsi que d’applications cloud et de catégories d’applications cloud pour lesquelles les transactions SSL ne seront pas déchiffrées.
  • Dans un premier temps, n’activez l’inspection que pour les catégories à risque : contenu pour adultes et jeux d’argent, par exemple, ou celles qui présentent des risques en termes de confidentialité ou de responsabilité. Ensuite, lorsque vous êtes prêt, activez l’inspection pour toutes les catégories d’URL, à l’exception des finances et de la santé, afin de dissiper les inquiétudes en matière de confidentialité.
  • Tenez compte des applications utilisées par votre entreprise qui reposent sur l’épinglage de certificat, où l’application n’accepte qu’un seul certificat client spécifique. Ces applications peuvent ne pas être compatibles avec l’inspection SSL, vous devrez donc les inclure dans la liste des éléments à ne pas déchiffrer.
  • Activez l’authentification utilisateur pour permettre à votre service d’inspection SSL d’appliquer des politiques utilisateur.

Qu’en est-il des implications de l’inspection SSL sur la confidentialité ?

Le déchiffrement et l’inspection SSL peuvent radicalement améliorer votre hygiène de sécurité, mais ce n’est pas forcément aussi simple que de tout déchiffrer. En fonction de votre secteur d’activité, de votre pays et des lois et réglementations auxquelles vous êtes soumis, il se peut que vous deviez gérer un trafic qui ne doit pas être déchiffré, comme des données médicales ou financières. Dans ce cas, vous devrez configurer des filtres et des politiques pour préserver la confidentialité de ces types de connexions.

Outre les préoccupations légales et réglementaires, votre entreprise devrait généralement inspecter autant de trafic SSL que possible pour réduire les risques et assurer la sécurité de vos utilisateurs et de vos données.

Zscaler et déchiffrement SSL

La plateforme Zscaler Zero Trust Exchange™ permet une inspection SSL complète à grande échelle, sans latence ni contraintes de capacité. En associant l’inspection SSL à notre pile de sécurité complète en tant que service cloud, vous bénéficiez d’une protection supérieure sans les contraintes associées aux appliances.

Capacité illimitée

Inspectez tout le trafic SSL de vos utilisateurs, sur le réseau ou hors réseau, avec un service qui évolue de manière flexible pour répondre à vos demandes de trafic.

Administration plus légère

Arrêtez de gérer individuellement les certificats sur toutes les passerelles. Les certificats chargés sur Zscaler Cloud sont immédiatement disponibles dans plus de 150 data centers Zscaler dans le monde.

Politique de contrôle granulaire

Garantissez la conformité grâce à la capacité d’exclure le trafic utilisateur chiffré pour les catégories de sites Web sensibles telles que la santé ou les services bancaires.

Sûreté et sécurité

Restez protégé grâce à la prise en charge des dernières suites de chiffrement AES/GCM et DHE pour une confidentialité persistante. Les données utilisateur ne sont jamais stockées dans le cloud.

Gestion simplifiée des certificats

Utilisez nos certificats ou chargez les vôtres. Faites appel à notre API pour changer aisément vos certificats, aussi souvent que nécessaire.

Éliminez les appliances coûteuses et inspectez la totalité du trafic chiffré sans aucune limitation grâce à l’inspection SSL Zscaler.

Ressources suggérées

Découvrez ce qui se cache dans votre trafic chiffré
Lire le rapport
Rapport Zscaler ThreatLabz 2023 sur l’état des attaques chiffrées
Lire le rapport
Politique de l’inspection TLS/SSL
Lire le blog