Pavel Ignatov - Fotolia
Le Cert-US met à son tour en garde contre l’inspection https
Le Cert américain alerte : de nombreux produits spécialisé dans l’inspection des flux Web chiffrés ne procèdent pas avec une rigueur suffisante. De quoi ouvrir la voie à des attaques de type man-in-the-middle.
Le chiffrement des échanges en ligne ne cesse de s’étendre, que ce soit à des fins de sécurité que dans le cadre d’attaques, afin de masquer les activités malveillantes. Pascal Beurel, directeur technique Europe du Sud de Gigamon, souligne dès lors que « le déchiffrement SSL est désormais au coeur des préoccupation dans de nombreuses organisations. Les équipes de sécurité font en effet face à des défis opérationnels de taille, parmi lesquels la détection de communications chiffrées de commande et de contrôle avec un serveur interne infecté, la gestion du risque lié à l’utilisation inapproprié des offres SaaS ou encore celui lié au téléchargement d’informations propriétaires/confidentielles sur des sites spécialisés ». Début 2016, Florian Malecki, alors directeur marketing produit pour la sécurité réseau chez Dell Security, expliquait que « de nombreuses organisations sont aveugles face au trafic chiffré » alors que, parallèlement, « nous observons une progression des attaques cachées dans du trafic chiffré ».
Las, comme le relève également Pascal Beurel, « le déchiffrement SSL est coûteux en termes de calcu ». En janvier 2016, Thierry Karsenti, vice-président technique EMEA de Check Point, relevait aussi que « le déchiffrement impacte sensiblement les performances et s’avère donc difficile à généraliser ». Mais ce n’est pas son seul inconvénient. Et le Cert-US vient d’attirer l’attention sur certains risques de sécurité induit par l’interception https - qu’il s’agisse avec lui d’un recours à SSL ou à TLS.
Le Cert-US souligne ainsi que, lorsqu’un système d’interception est mis en place, le client ne peut plus vérifier directement et en toute indépendance la sécurisation de la connexion au serveur Web consulté. Il ne peut vérifier cette sécurisation qu’entre lui et le système d’interception. Pour garantir la sécurité du client Web et des échanges, il est donc essentiel que le système d’interception procède à une vérification très rigoureuse de la sûreté de sa connexion avec le serveur Web consulté par l’utilisateur. Las, comme le relève le Cert-US, citant une récente étude, « beaucoup de produits d’inspection https ne vérifient pas correctement la chaîne de certificats du serveur avant de re-chiffrer et transférer les données client, rendant possible une attaque de type man-in-the-middle ». En outre, « les erreurs de vérification de la chaîne de certificats ont rarement transmises au client, le laissant croire que les opérations sont réalisées comme prévu avec le serveur correct ». Même si cela n’est pas le cas…
En fait, le Cert-US se fait là l’écho de travaux du Cert de l’institut d’ingénierie logicielle de l’université Carnegie Mellon qui publie une liste d’applications d’interception https « susceptibles d’être affectées ». Le Cert-US recommande de vérifier que les systèmes d’interception déployés assure bien la validation requise des chaînes de certificats et transfèrent également les erreurs ou alertes de vérification au client.
Mais cette alerte est loin d’être isolée. Début mars, Stéphane Bortzmeyer, architecture réseau et systèmes à l’Afnic, se faisait l’écho, sur son blog, des travaux présentés par plusieurs chercheurs lors de la conférence NDSS 17, un peu plus tôt à San Diego. Ils se penchaient déjà sur les risques de sécurité induits par le recours à une interception https « devenue étonnamment répandue ». Stéphane Bortzmeyer soulignait quant à lui certaines trouvailles des chercheurs, dont le fait que « la totalité des systèmes testés font d’énormes erreurs TLS : ils annoncent des algorithmes de chiffrement abandonnés, ou qui n’auraient jamais dû être utilisés, acceptent des certificats expirés et, parfois, ne valident même pas le certificat du serveur ». Sans compter ceux qui sont « vulnérables à plusieurs attaques TLS connues ».
Plus tôt encore, en juin dernier, Bitglass alertait sur le fait que l’inspection SSL, mise en oeuvre conjointement à une solution de gestion des terminaux mobiles (MDM) dans le but d’autoriser usages privés et professionnels, est susceptible de mettre en péril la confidentialité de certaines données personnelles des collaborateurs.
Pour le Cert-US, cela ne fait pas de doute : « les organisations envisageant l’utilisation de l’inspection https devrait consciencieusement peser les pour et les contre de tels produits avant déploiement ».