> Mobilité > Ne faites pas toujours confiance à  SSL

Ne faites pas toujours confiance à  SSL

Mobilité - Par Joern Wettern - Publié le 23 septembre 2010
email

Secure Sockets Layer (SSL) a été conçu pour préserver la confidentialité du trafic Web, mais l’icône du verrou dans votre navigateur peut vous induire en erreur. Quelqu’un peut très bien être à l’écoute de votre trafic Web crypté.

SSL a été mis au point pour permettre l’authentification entre un client et un serveur, afin que ces ordinateurs puissent échanger en toute sécurité des clés de session servant ensuite à crypter le reste de la session. Au cours de ce processus, le serveur Web envoie un certificat au client et utilise la clé privée correspondante pour prouver son identité.

Ne faites pas toujours confiance à  SSL

En supposant que le certificat provienne d’une autorité de certificat (CA) sûre pour le client, la connexion est établie et personne ne peut intercepter les communications entre les deux ordinateurs. Bien évidemment, la confidentialité des communications est à la base du commerce électronique et constitue également une condition sine qua non pour de nombreuses autres utilisations sur Internet.

Dans le même temps, le cryptage empêche toute inspection du trafic autrement qu’au niveau du client et du serveur, et cela peut créer une menace pour la sécurité de votre réseau. Peut importe que vos pare-feux et systèmes de détection d’intrusion excellent à inspecter le trafic HTTP, ils ne pourront pas examiner le trafic SSL crypté pour détecter les virus, les spyware ou les activités contraires à la politique de l’entreprise.

Les pare-feux capables d’inspecter les connexions entrantes aboutissant aux serveurs Web sont devenus relativement courants. Par exemple, le produit ISA Server de Microsoft inclut le pontage SSL (SSL Bridging) depuis plusieurs années. Lors de la publication d’un serveur Web sur Internet avec ISA Server ou un produit similaire, vous pouvez installer le certificat et la clé privée sur le pare-feu.

Par conséquent, ce dernier peut se faire passer pour le serveur Web auprès du client. Comme il constitue le point de terminaison de la session du client, il peut examiner le trafic et transmettre les requêtes légitimes au serveur Web. En revanche, s’il rencontre du trafic indésirable, notamment des attaques contre le serveur Web, il lui suffit de bloquer les trames en question.

D’un point de vue technique, une telle inspection SSL constitue une attaque du type « homme du milieu », car le système en périphérie se fait passer pour votre serveur Web. Toutefois, comme vous utilisez un certificat émis par votre organisation, les utilisateurs ont toujours l’assurance qu’ils se connectent effectivement à la bonne société et que le trafic transitant par Internet ne peut pas être intercepté.

Techniquement parlant, une connexion pontée n’est pas identique à une connexion directe à votre serveur Web, mais elle répond aux exigences d’authentification et de confidentialité, tout en vous permettant de protéger votre réseau. A l’heure actuelle, peu d’entreprises inspectent le trafic SSL sortant, mais cet état de fait évolue car de plus en plus de pare-feux et serveurs proxy permettent de le faire. Il existe de bonnes raisons de surveiller ces connexions.

Même si elles proviennent de l’intérieur de votre réseau, des logiciels malveillants peuvent les utiliser pour infiltrer votre réseau. La plupart du temps, cela se produit lorsqu’un utilisateur clique par inadvertance sur un lien pointant vers un contenu dangereux. S’il s’agit d’un lien vers un site SSL, la réponse HTTP est cryptée et reçue par l’ordinateur client sans que le pare-feu ou le système de détection d’intrusion puisse l’inspecter. Certaines sociétés qui limitent ou journalisent le trafic Web de leurs employés connaissent depuis longtemps la frustration liée à SSL.

En effet, un utilisateur dont l’accès à certains contenus Web via HTTP est bloqué peut contourner les contrôles existants en se connectant à un site interdit via SSL. Les utilisateurs en entreprise peuvent également accéder à des sites que vous bloquez via un serveur proxy externe et SSL pour masquer leur activité. Ainsi, que vous vous préoccupiez de l’analyse du trafic Web pour détecter les contenus dangereux ou pour contrôler la navigation Web des utilisateurs, il est essentiel d’examiner le trafic SSL sortant.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Mobilité - Par Joern Wettern - Publié le 23 septembre 2010