Pour Philippe Alcoy, spécialiste de la sécurité chez Netscout, il est important de déchiffrer les communications réseau pour détecter et réagir avec assurance aux menaces les plus courantes. Le déchiffrement ciblé permet la visibilité du réseau, l’identification des menaces cachées et la garantie de la conformité.
Le développement d’Internet, simple moyen utilisé par une poignée de scientifiques pour communiquer et échanger des données, devenu un outil de communication et de commerce omniprésent destiné à des milliards de personnes, a augmenté le besoin de communications privées et sécurisées. C’est la raison pour laquelle le trafic internet est systématiquement chiffré. Ainsi, même sur les réseaux internes, les communications sont souvent chiffrées pour protéger les données contre une éventuelle compromission. Dans ce contexte, comment les organisations peuvent-elles utiliser un déchiffrement ciblé pour rétablir la visibilité de ce trafic ?
Chiffrement et visibilité
Les équipements utilisés pour la surveillance des applications sont conçus pour permettre à l’utilisateur final de résoudre les problèmes sur le réseau. Ces outils lui permettent de visualiser les différents types de transactions, le moment auquel les communications sont établies pour la première fois avec les clients, et la séquence des commandes qui sont envoyées entre le client et le serveur. De nombreuses informations peuvent être obtenues avec l’utilisation d’outils de gestion de la visibilité et de la performance, mais les appareils ne sont pas en mesure de fournir autant de visibilité sur les données chiffrées que sur les données déchiffrées. La comparaison entre HTTP et HTTPS en est un excellent exemple. Avec le protocole HTTP, un système de surveillance des applications peut rendre compte de toutes les requêtes GET, PUT, POST et DELETE qui sont envoyées au serveur, ainsi que de la réponse du serveur à ces requêtes.
Autre situation dans laquelle il est important de déchiffrer le trafic chiffré à des fins d’inspection : la vérification des activités malveillantes. De nombreux appareils de sécurité peuvent détecter des reverse shells, des injections de code et des bots de commande et contrôle. Ce trafic ne peut être identifié et analysé que s’il est non chiffré. La plupart des appareils IDS et IPS, et autres outils qui sont conçus pour détecter le trafic malveillant, sont beaucoup moins utiles, voire inutiles, lorsque le trafic est chiffré. Il est donc essentiel de déchiffrer le trafic qui est envoyé vers et depuis des serveurs internet inconnus. Par exemple, certains fournisseurs utiliseront la séquence de longueur et de durée des paquets (Sequence of Packet Lenghts and Times, or SPLT), combinée à des informations sur les protocoles et les suites de chiffrement utilisés, pour conclure à l’utilisation de logiciels malveillants. En somme, cette approche est valable pour détecter divers types de logiciels malveillants, mais ces méthodes ne peuvent tout simplement pas détecter de nombreux autres comportements de la chaîne d’attaque.
Comprendre les trafics déchiffrés
HTTPS – Lorsque l’on pense au déchiffrement du trafic réseau, on songe le plus souvent au trafic web. Il s’agit d’un type de trafic important à déchiffrer, car de nombreuses attaques se propagent sur les connexions HTTP et HTTPS. Il peut être facilement déchiffré à l’aide d’un appareil en ligne. Une fois déchiffré, il est primordial de veiller à ce que le trafic ne soit envoyé qu’aux outils de surveillance ou de conformité qui doivent le visualiser.
SSH – Le trafic Secure Shell (SSH) est normalement utilisé par les administrateurs pour exécuter des commandes sur des systèmes distants. L’avantage du chiffrement de ce trafic semble évident : les mots de passe ne sont pas envoyés en clair comme dans le cas d’une session Telnet ou FTP. Mais les cybercriminels sont également capables d’exploiter SSH, en particulier pour exfiltrer les données convoitées, technique qui peut être évitée en inspectant le traffic même si un attaquant s’est introduit dans le réseau.
SIPS (Secure SIP) – Le protocole SIP est un protocole de contrôle des appels utilisé pour les réseaux de voix sur IP (VoIP). Secure SIP est le mécanisme qui permet de protéger ce trafic par un chiffrement TLS, ce qui en complique la surveillance. En déchiffrant ce trafic et en le transmettant à un outil d’inspection, les administrateurs peuvent contrôler la qualité de leurs appels VoIP ; ce qui n’est pas possible avec un trafic chiffré.
En définitive, il est important de déchiffrer les communications réseau pour détecter et réagir avec assurance aux nombreuses menaces les plus courantes. Une véritable analyse du trafic réseau de l’entreprise passe par la capacité de déchiffrer le trafic approuvé, et ce, en vue d’une inspection approfondie au niveau des applications. Idéalement, la fonction de déchiffrement au sein d’une organisation devrait être dédiée. Bien que de nombreux produits, tels que les pare-feux de nouvelle génération, soient capables de procéder au déchiffrement, ils ne le font pas de manière aussi efficace qu’une solution de déchiffrement dédiée.