Zpedia 

/ Qu'est-ce que l'inspection SSL ?

Qu'est-ce que l'inspection SSL ?

L’inspection SSL désigne le processus d’interception et d’analyse des communications Internet chiffrées par SSL entre le client et le serveur. L’inspection du trafic SSL revêt désormais une importance capitale dans la mesure où le trafic Internet est en très grande partie chiffré par SSL, y compris le contenu malveillant.

Pourquoi l’inspection SSL est-elle importante ?

La popularité actuelle des applications SaaS et du cloud implique que davantage de données transitent sur Internet, plus souvent, ce qui les expose à un plus grand risque. Le chiffrement est par conséquent un élément essentiel de la sécurisation des données confidentielles et sensibles. C’est pourquoi la plupart des navigateurs, des serveurs Web et des applications cloud chiffrent aujourd’hui les données sortantes et les échangent par le biais de connexions HTTPS.

Malheureusement, cela fonctionne dans les deux sens : si des données sensibles peuvent se dissimuler dans le trafic HTTPS, il en va de même pour les menaces. Une inspection SSL efficace est donc tout aussi essentielle, car elle permet à une entreprise d’inspecter entièrement le contenu du trafic déchiffré avant de le bloquer ou de le rechiffrer pour qu’il puisse poursuivre son chemin.

Citation

Entre octobre 2022 et septembre 2023, Zscaler Cloud a neutralisé 29,8 milliards d’attaques intégrées dans un flux chiffré (SSL/TLS). Cela représente une hausse de 24,3 % par rapport à l’année 2022, qui avait elle-même connu une augmentation de 20 % par rapport à l’année précédente.

zscaler threatLabz

SSL et TLS

Clarifions les choses. Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont deux protocoles cryptographiques qui régissent le chiffrement et la transmission de données entre deux points. Alors, quelle est la différence ?

La société Netscape, aujourd’hui disparue, a développé le SSL au milieu des années 90, publiant SSL 3.0 fin 1996. TLS 1.0, basé sur une version améliorée de SSL 3.0, a vu le jour en 1999. TLS 1.3, publié par l’Internet Engineering Task Force (IETF) en 2018, est la version la plus récente et la plus sécurisée à ce jour. Aujourd’hui, le SSL n’est plus développé ni pris en charge. En 2015, l’IETF a déclaré toutes les versions de SSL obsolètes en raison de leurs vulnérabilités (par exemple, aux attaques de l’homme du milieu) et du manque de fonctionnalités de sécurité critiques.

Malgré cela et des décennies de changements, au-delà d’un sens strictement technique, la plupart des gens disent encore « SSL » comme un mot passe-partout pour les protocoles cryptographiques. En d’autres termes, lorsque vous voyez les acronymes SSL, TLS, SSL/TLS, HTTPS, etc., la plupart du temps, ils signifient tous la même chose. Pour les besoins de cet article, nous allons apporter les précisions nécessaires.

Comment fonctionne l’inspection SSL

Il existe quelques approches différentes du déchiffrement et de l’inspection SSL. Examinons les plus courantes et les considérations clés pour chacune.

Méthode d'inspection SSL

Pare-feu de nouvelle génération (NGFW)

Proxy

Fonctionnement

Les connexions réseau passent par un NGFW avec une visibilité réduite au seul niveau des paquets, ce qui limite la détection des menaces.

Deux connexions distinctes sont établies entre le client et le serveur, avec une inspection complète du flux réseau et de la session.

Impact de l'inspection SSL

Les NGFW ne peuvent détecter que de petites portions de programmes malveillants, laissant les autres se déployer en morceaux. Ils requièrent des fonctionnalités proxy supplémentaires et ont tendance à se montrer moins performants lorsque des fonctions clés comme la prévention des menaces sont activées.

Des objets entiers peuvent être réassemblés et analysés, ce qui permet une analyse par des moteurs de détection des menaces supplémentaires, tels que sandbox et DLP.

Impact sur ces méthodes lorsque TLS 1.3 est utilisé

Les performances diminuent considérablement en raison des plus hautes exigences de performances et d’échelle des chiffrements TLS 1.3, nécessitant une mise à niveau du matériel pour y répondre.

Dans le cas d’un proxy cloud fourni en tant que service, aucune actualisation de l’appliance n’est nécessaire du côté client pour répondre aux besoins de performance et d’échelle de TLS 1.3.

Pour une explication plus spécifique, nous pouvons examiner plus en détail son fonctionnement sur la plateforme Zscaler. Lorsque vous activez l’inspection SSL avec Zscaler, le processus ressemble à ceci :

  1. Un utilisateur ouvre un navigateur et envoie une requête HTTPS.
  2. Le service Zscaler intercepte la demande HTTPS. Grâce à un tunnel SSL différent, le service envoie sa propre demande HTTPS au serveur de destination et mène les négociations SSL.
  3. Le serveur de destination envoie au service Zscaler son certificat avec sa clé publique.
  4. Le service Zscaler et le serveur de destination terminent la négociation SSL. Les données d'application et les messages suivants sont envoyés via le tunnel SSL.
  5. Le service Zscaler conduit les négociations SSL avec le navigateur de l’utilisateur. Il envoie au navigateur le certificat intermédiaire Zscaler ou la racine intermédiaire personnalisée de votre organisation ainsi qu'un certificat de serveur signé par l'autorité de certification intermédiaire Zscaler. Le navigateur valide la chaîne de certificats dans la liste de certificats du navigateur.
  6. Le service Zscaler et le navigateur terminent la négociation SSL. Les données d'application et les messages suivants sont envoyés via le tunnel SSL.
Méthodes d’inspection SSL

Avantages de l’inspection SSL

L’inspection SSL aide les entreprises modernes à assurer la sécurité de leurs utilisateurs finaux, de leurs clients et de leurs données, parce qu’elle permet de :

  • Prévenir les violations de données en repérant les programmes malveillants cachés et en empêchant les hackers de se faufiler au travers de vos mécanismes de défense
  • Voir et comprendre ce que les employés transmettent à l’extérieur de l’entreprise, intentionnellement ou accidentellement
  • Répondre aux exigences de conformité réglementaire, en veillant à ce que les employés ne mettent pas de données confidentielles en danger
  • Soutenir une stratégie de défense multicouche qui sécurise l’ensemble de l’entreprise

La nécessité d’une inspection SSL

L’inspection SSL représente une fonctionnalité de sécurité du réseau vitale pour les entreprises modernes. En effet, l’écrasante majorité du trafic Web est désormais chiffrée et certains analystes en cybersécurité estiment que plus de 90 % des malwares peuvent désormais se cacher dans des canaux chiffrés.

Malgré l’utilisation croissante du chiffrement, de nombreuses entreprises n’effectuent encore l’inspection SSL/TLS que sur une partie de leur trafic et néglige le trafic provenant de certaines sources « fiables ». Étant donné le caractère versatile d’Internet, cela peut s’avérer risqué. Les sites Web, par exemple, sont diffusés de manière dynamique et peuvent puiser dans plusieurs sources pour afficher des centaines d’objets, chacun d’entre eux pouvant constituer une menace.

Parallèlement, les auteurs de malwares recourent de plus en plus au chiffrement pour dissimuler leurs exploits. Avec plus de 100 autorités de certification SSL dans le monde aujourd’hui, obtenir un certificat signé valide constitue un processus simple et peu coûteux. À tout moment, environ 70 % du trafic traité par Zscaler Cloud est chiffré, ce qui accentue l’importance de pouvoir inspecter le trafic SSL.

Alors, pourquoi tout le monde ne le fait-il pas ? Tout simplement parce que le déchiffrement, l’inspection et le rechiffrement du trafic SSL sont des opérations à forte intensité de calcul et que, sans la technologie adéquate, ce processus peut avoir un impact dévastateur sur les performances de votre réseau. La plupart des entreprises ne peuvent pas se permettre d’interrompre leurs activités et leurs flux de travail, elles n’ont donc pas d’autre choix que de contourner l’inspection HTTPS par des appliances qui ne peuvent hélas pas répondre aux demandes de traitement.

Le chiffrement et le panorama des menaces modernes

En raison des préoccupations croissantes concernant la confidentialité des données ces dernières années, la tendance est au chiffrement par défaut. C’est une excellente chose pour la confidentialité, mais les exigences techniques — et dans de nombreux cas, le prix du matériel nécessaire — sont trop élevées pour de nombreuses entreprises. Par conséquent, ces entreprises ne sont pas armées pour inspecter le trafic chiffré à grande échelle.

Les acteurs malveillants le savent ; c’est pourquoi les menaces basées sur le SSL sont en augmentation. Bien que les hackers aient trouvé de nombreuses façons d’infiltrer les systèmes et de dérober des données, forcer un chiffrement reste une tâche ardue et fastidieuse, donc une approche inefficace. Au lieu de cela, ils ont commencé à utiliser le chiffrement lui-même pour diffuser des contenus malveillants, dissimuler des malwares et mener des attaques sans être détectés.

Pendant des années, le symbole d’un cadenas à côté de l’adresse URL d’un site Web indiquait que celui-ci était sécurisé, mais ce n’est désormais plus une garantie de sécurité. Le trafic qui transite par des canaux chiffrés ne devrait pas être considéré comme fiable simplement en vertu d’un certificat numérique. Autrefois considéré comme la protection absolue des données transmises sur Internet, le protocole SSL est devenu la cour de récréation par excellence de cybercriminels où ils accomplissent leurs opérations malveillantes.

Citation

Dès juin 2020, 96 % des pages de Google Chrome aux États-Unis utilisaient le chiffrement (HTTPS).

Rapport Google sur la transparence

Zscaler et l'inspection SSL

La plateforme Zscaler Zero Trust Exchange™ permet une inspection SSL complète à grande échelle, sans latence ni contraintes de capacité. En associant l’inspection SSL à notre pile de sécurité complète en tant que service cloud, vous bénéficiez d’une protection supérieure sans les contraintes associées aux appliances.

Capacité illimitée

Inspectez tout le trafic SSL de vos utilisateurs, sur le réseau ou hors réseau, avec un service qui évolue de manière flexible pour répondre à vos demandes de trafic.

Administration plus légère

Arrêtez de gérer individuellement les certificats sur toutes les passerelles. Les certificats chargés sur Zscaler Cloud sont immédiatement disponibles dans plus de 150 data centers Zscaler dans le monde.

Politique de contrôle granulaire

Garantissez la conformité grâce à la capacité d’exclure le trafic utilisateur chiffré pour les catégories de sites Web sensibles telles que la santé ou les services bancaires.

Sûreté et sécurité

Restez protégé grâce à la prise en charge des dernières suites de chiffrement AES/GCM et DHE pour une confidentialité persistante. Les données utilisateur ne sont jamais stockées dans le cloud.

Gestion simplifiée des certificats

Utilisez nos certificats ou chargez les vôtres. Faites appel à notre API pour changer aisément vos certificats, aussi souvent que nécessaire.

Éliminez les appliances coûteuses et inspectez la totalité du trafic chiffré sans aucune limitation grâce à l’inspection SSL Zscaler.

Ressources suggérées

Chiffrement, confidentialité et protection des données: un acte d'équilibre
Lire le livre blanc
Accès Internet et SaaS sécurisé et rapide avec inspection SSL illimitée
Lire la fiche technique
Arguments en faveur de l'inspection du trafic SSL d'entreprise
Lire le blog