Pour connaître le succès, des services en ligne tels que la banque et le e-commerce ont besoin de la confiance des utilisateurs dans la protection de leurs transactions et de leurs données personnelles sensibles. C’est dans cette optique que le chiffrement a été mis en place.
Tribune par Eric Michonnet, Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord Arbor Networks – SSL (Secure Sockets Layer) et plus particulièrement TLS (Transport Layer Security) sont les protocoles de chiffrement les plus couramment employés pour sécuriser les transferts de fonds, les achats en ligne et autres transactions financières, ainsi que les e-mails et les accès distants. De plus en plus, des réseaux sociaux comme Facebook et Twitter font aux aussi appel à TLS afin de protéger la vie privée de leurs utilisateurs, la demande dans ce sens ayant explosé depuis l’affaire Snowden.
Pour cette raison, il n’est sans doute pas surprenant que les services chiffrés fassent partie des principales cibles des attaques DDoS. Or le nombre de ces attaques va croissant. Après tout, quoi de plus tentant pour l’auteur d’une attaque que ce qui est le plus difficile à obtenir ? Cela peut se comparer à l’obsession de Goldfinger à pénétrer dans Fort Knox dans le James Bond éponyme. C’est la robustesse même de la protection derrière laquelle se cache une chose qui en fait toute la valeur.
Selon la 12 ème étude sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), 52 % des professionnels de la sécurité interrogés disent avoir subi des attaques contre les services web sécurisés (HTTPS) en 2016, contre 47 % l’année précédente. Pire, les cybercriminels recourent souvent eux-mêmes au chiffrement pour infiltrer du trafic chiffré, rendant ainsi leurs attaques extrêmement difficiles à détecter.
Une fois à l’intérieur d’une entreprise, les menaces peuvent passer inaperçues jusqu’à ce qu’elles déclenchent une attaque dévastatrice contre celle-ci.
Différentes méthodes d’attaque
En général, les attaques sur le chiffrement SSL essaient de saturer la capacité de serveurs SSL afin d’authentifier les tentatives de communication. L’étude WISR révèle que ces attaques ont tendance à se répartir en quatre catégories :
- Attaques ciblant le processus de négociation SSL ou TLS, plus couramment appelé « handshake ». Dans un cas fréquent, l’attaquant lance le processus, puis tente de renégocier la clé de chiffrement à de multiples reprises, jusqu’à épuiser les ressources du serveur, ce qui rend les services indisponibles pour les utilisateurs légitimes.
- Attaques du protocole ou de la connexion contre le port SSL ou TLS. Typiquement, l’attaquant bombarde le serveur SSL avec des données inutiles, surchargeant ainsi la capacité de traitement du serveur.
- Attaques volumétriques qui se bornent à inonder de trafic les ports des services. Un datacenter entier peut ainsi se trouver coupé du monde extérieur sous l’effet des volumes très élevés de trafic qui saturent les liaisons entrantes en provenance d’Internet.
- Attaques applicatives ciblant directement le service sous-jacent sur des connexions SSL ou TLS pleinement négociées. Les services HTTPS sont parmi les cibles les plus courantes d’attaques applicatives complexes et sournoises. Lentes et de faible intensité, ces attaques peuvent être d’une grande efficacité, en partant d’une seule machine qui génère du trafic à bas débit.
Cette diversité des méthodes souligne une fois encore la nécessité de mesures de sécurité couvrant un large éventail des types d’attaque actuels, allant des assauts massifs à des attaques applicatives plus précises et ciblées, qui passent au travers des mailles du filet et attendent le moment opportun pour frapper.
Que se cache-t- il dans votre trafic chiffré ?
Le chiffrement SSL/TLS consiste à recoder les données des utilisateurs de sorte qu’elles ne puissent pas être lues par des personnes ou des machines non autorisées pendant leur transfert entre serveurs. C’est ce qui garantit la sécurité et l’intégrité des transactions financières en ligne et des communications confidentielles, mais cela présente également des risques.
Le problème est que les équipements de sécurité réseau tels que les pare-feu (firewalls) ou les systèmes de prévention d’intrusion (IPS) n’inspectent normalement pas le trafic chiffré et que, pour cette raison, un volume élevé de trafic Internet entre sur le réseau sans être passé au crible. Il s’agit donc d’une cachette idéale pour les malwares ou les botnets. Des pirates peuvent ainsi exploiter SSL et des outils malveillants à l’intérieur du navigateur pour diriger leurs attaques sur des services HTTPS, ce qui les rend indétectables. Pour combattre ce problème, les entreprises doivent adopter une réflexion plus stratégique.
Si le déchiffrement du trafic SSL permet aux entreprises d’en inspecter le contenu, il expose également les services légitimes au risque d’un piratage ou, à tout le moins, d’une perturbation. Les entreprises ont donc plutôt besoin d’une solution capable d’examiner le trafic chiffré en toute sécurité et de confirmer son authenticité sans pour autant ralentir la file d’attente ni rendre le trafic autorisé accessible à des intrus. Les entreprises ne doivent pas oublier que, tandis que le chiffrement demeure une composante fondamentale de la cybersécurité, il ne saurait suffire pour sécuriser les services critiques.
Des capacités robustes et complètes, englobant la veille, la détection et la neutralisation des menaces, sont indispensables pour assurer l’intégrité et la disponibilité ininterrompue des services sécurisés.