« Analyser le trafic chiffré doit devenir une priorité des RSSI » (Dell Security)
Le trafic chiffré s’est considérablement répandu en quelques années. Au point que son inspection est devenue incontournable pour assurer la sécurité des systèmes d’information des entreprises. Mais elle est loin d'être aisée.
Acquérir la capacité d’analyser le trafic chiffré devrait compter parmi les premières priorités des entreprises en 2016, selon Dell Security. La toute dernière édition de son rapport annuel sur les menaces montre en effet que la progression continue du recours au chiffrement SSL/TLS du trafic réseau offre aux cybercriminels de nouvelles opportunités pour cacher les logiciels malveillants aux systèmes de protection.
L’étude de Dell Security est basée sur les informations produites l’an passé par le réseau Dell SonicWall Global Response Intelligence Defense Grid, à partir de données collectées sur plus d’un million de pare-feu et de dix millions de terminaux protégés par ceux-ci. Des sources tierces sont également utilisées.
Et il en ressort que des stratégies de déchiffrement et d’inspection du trafic chiffré constituent désormais une nécessité claire : près de 65 % du trafic Internet est aujourd’hui chiffré, offrant une couverture aux attaques qui ont affecté des millions d’utilisateurs l’an passé.
Ainsi, en s’appuyant sur le chiffrement SSL ou TLS, les attaquants peuvent chiffrer les communications entre leurs logiciels malveillants et leurs serveurs de commande et de contrôle, et se jouer des systèmes de prévention d‘intrusion (IPS) ou encore de détection de malwares dans les flux réseau.
Cette technique a notamment été utilisée en août dernier dans le cadre d’une campagne de publicité malveillante qui a conduit à l’exposition de rien moins que 900 millions d’utilisateurs des services de Yahoo à un logiciel malveillant, en les redirigeant vers un site infecté par le kit d’exploitation Angler.
Zscaler, plus modeste dans ses chiffres – pour lui, près de 33 % du trafic réseau mondial est aujourd’hui chiffré –, ne contestera toutefois pas la pertinence de l’analyse : 54 % du trafic SSL qu’il a à inspecter, via son infrastructure Cloud, cacherait des logiciels malveillants.
« De nombreuses organisations sont aveugles face au trafic chiffré. Et si elles ne sont pas capables d’analyser 65 % du trafic, cela signifie que le risque est 65 % plus grand », estime Florian Malecki, directeur marketing produit pour la sécurité réseau chez Dell Security. « Nous observons une progression des attaques cachées dans du trafic chiffré. Il est vital que les entreprises disposent de la capacité à regarder dans ce trafic au niveau de leur passerelle ».
L’inspection des paquets en profondeur…
De plus en plus de sites Web et de services chiffrent le trafic. La sécurité en est renforcée d’une part. Mais Malecki relève que, d’autre part, les attaquants profitent du fait que de nombreuses organisations se protègent derrière des équipements aveugles au trafic chiffré.
Selon les données de Dell Security, le recours au chiffrement pour le trafic réseau a fortement progressé au cours de l’an passé, de 53 % en moyenne, mois après mois, par rapport à 2014. En juin 2011, Palo Alto Networks estimait à 36 % la part de la bande passante consommée en entreprise par le trafic SSL.
Toutefois, selon Dell Security, les organisations peuvent profiter des gains de sécurité liés au chiffrement sans fournir un tunnel masqué aux attaquants en dotant leurs pare-feu de nouvelle génération de capacités d’inspection des paquets en profondeur (DPI) : « cette approche permet d’assurer la protection contre les virus et les logiciels espions, mais aussi la détection et la prévention d’intrusion ou encore le filtrage de contenus au niveau de la passerelle », explique Malecki.
Et l’urgence apparaît d’autant plus grande que le recours au chiffrement n’est pas prêt de s’arrêter : 99 % du trafic en ligne est appelé à être chiffré d’ici à 5 ans : « les entreprises de toutes tailles ont vraiment besoin de s’assurer de disposer de capacités d’analyse du trafic chiffré ».
… un cauchemar pour les performances
Ce constat, Dell Security n’est pas le seul à le faire. Fin janvier, Check Point Software actualisait sa gamme d’appliances en mettant l’accent sur les performances. Thierry Karsenti, vice-président technique EMEA de Check Point, expliquait alors que celles sont dotées de la puissance de calcul nécessaire pour limiter l’impact, sur les performances, de l’examen de l’ensemble du trafic réseau chiffré : « une attaque sur deux est véhiculée sur flux SSL. Mais le déchiffrement impacte sensiblement les performances et s’avère donc difficile à généraliser ». De quoi motiver la granularité des politiques de sécurité des pare-feu de nouvelle génération afin d’éviter de chercher à inspecter l’intégralité du trafic chiffré…
Blue Coat, spécialiste du domaine classé par Gartner, en 2015, parmi les leaders du marché des passerelles Web sécurisées, notamment en raison de ses solutions matérielles d’assistance à l’analyse des flux chiffrés, met d’ailleurs très bien évidence toute la difficulté du sujet : son appliance SSL Visibility, dans sa version de base, affiche une capacité de traitement de paquets de 8 Gbps… pour une bande passante de seulement 250 Mbps en inspection de trafic SSL. Au mieux le modèle haut de gamme SV3800B-20 est-il capable d’inspecter 9 Gbps pour une capacité de traitement nominale de 40 Gbps.
Avec nos confrères de ComputerWeekly (groupe TechTarget)