Qu'est-ce que l'inspection HTTPS ?

L'inspection du trafic peut aider les organisations à détecter les logiciels malveillants, mais les risques de sécurité de l'inspection HTTPS doivent être examinés attentivement.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Décrire le fonctionnement de l'inspection HTTPS
  • Expliquer comment les attaquants utilisent HTTPS pour dissimuler leur activité.
  • Comprendre les alternatives pour atténuer le risque d'attaque

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que l'inspection HTTPS ?

L'inspection HTTPS est le processus qui consiste à vérifier le trafic web chiffré en utilisant la même technique qu'une attaque on-path sur la connexion réseau. Il s'agit d'une fonctionnalité de certains dispositifs de mise en réseau d'entreprise, de pare-feu, et de produits de gestion des menaces.

Une organisation peut souhaiter inspecter le trafic HTTPS pour rechercher les logiciels malveillants , identifier les tentatives d'exfiltration de données et bloquer l'accès à des sites Web spécifiques. Les logiciels malveillants posent un problème de sécurité car ils peuvent paralyser les opérations commerciales, voler des données ou rendre des fichiers inaccessibles.

L'inspection HTTPS porte de nombreux noms, notamment inspection SSL, inspection TLS, rupture et inspection TLS et interception HTTPS.

Comment fonctionne l'inspection HTTPS ?

Lorsqu'une entreprise utilise l'inspection HTTPS pour se protéger des logiciels malveillants, elle emploie un produit qui établit deux connexions chiffrées distinctes et se fait passer pour le client et le serveur. Le produit recherche les menaces malveillantes à bloquer, sans que le client ne sache qu'il n'y a pas une seule connexion validée de bout en bout.

À titre d'exemple, imaginons qu'un élève passe une note à un ami en classe sans se rendre compte que la personne assise entre eux peut lire le contenu du message. Dans ce scénario, l'expéditeur croit que la note est scellée pendant le transport, sans se rendre compte qu'elle peut être ouverte et fermée sans aucun signe évident. L'inspection HTTPS diffère toutefois de cet exemple sur un point important : l'expéditeur n'est même pas conscient de la présence d'un intermédiaire.

Normalement, lorsqu'un site Web utilise TLS, le périphérique client (l'ordinateur ou le smartphone d'un utilisateur) se connecte directement au serveur hôte du site Web et établit une connexion chiffrée. Une fois la connexion chiffrée établie, le trafic entre le client et le serveur est entièrement chiffré, et personne au milieu ne peut voir le trafic.

Au cours de l'inspection HTTPS, le produit établit deux connexions SSL - une au serveur et une au client. Du point de vue du client, il se connecte directement au serveur, sans intermédiaire. En revanche, le trafic est redirigé vers le produit d'inspection, qui se fait passer pour le site Web. Il a la possibilité de visualiser, de modifier et de bloquer le contenu.

Comment le trafic sécurisé peut-il transmettre des logiciels malveillants ?

Dans les premiers temps d'Internet, le trafic était envoyé en clair sur HTTP . Cela signifie que rien n'était chiffré et que si quelqu'un interceptait le trafic, toutes les données étaient exposées.

Avec HTTPS - la version sécurisée de HTTP - le trafic est chiffré. Le client et le serveur passent par un processus de communication en va-et-vient pour établir une connexion sécurisée.

HTTPS protège le trafic Internet contre la surveillance par des parties non autorisées. Cependant, il peut aussi aider les mauvais acteurs à cacher leurs traces. HTTPS crypte et masque tout type de données, qu'il s'agisse de données bancaires d'une personne ou de logiciels malveillants d'un attaquant.

L'icône de cadenas d'un navigateur pour une connexion HTTPS signifie que les données circulant entre un utilisateur et un serveur sont chiffrées, mais pas que tout ce qui concerne le site web est garanti contre les attaques ou les fouilles. Un site Web géré par une entreprise de confiance, comme une institution financière, peut présenter une faille de sécurité et constituer à son insu une menace pour les utilisateurs. Par ailleurs, un attaquant peut mettre en place un site Web malveillant qui semble sûr parce qu'il dispose d'un certificat SSL et chiffre le trafic.

Quels sont les risques de l'inspection HTTPS ?

Si elle n'est pas effectuée correctement, l'inspection HTTPS peut créer des failles de sécurité. Pour le trafic normal, non inspecté, un navigateur peut valider la connexion de bout en bout - vérifier que le certificat est valide garantit que le client communique avec le serveur qui possède le domaine.

En interrompant ce processus, l'inspection peut introduire plusieurs problèmes si l'on n'y prend pas garde :

  • Le chiffrement post-inspection peut être moins sûr, en particulier si le produit d'inspection n'utilise pas les normes cryptographiques actuelles.
  • Certains produits d'inspection ne valident pas correctement les chaînes de certificats, ce qui augmente le risque d'une attaque distincte sur le chemin d'accès par un criminel.
  • Alors que les navigateurs sont mis à jour fréquemment et automatiquement pour répondre aux nouveaux problèmes de sécurité, le produit d'inspection peut être en retard par rapport aux meilleures pratiques de sécurité, comme la prise en charge de la dernière version du protocole de sécurité de la couche de transport (TLS).

Quels sont les avantages de l'inspection HTTPS ?

L'inspection HTTPS fournit :

  • Une meilleure visibilité du trafic réseau et des risques potentiels
  • Une plus grande chance de bloquer les attaques malveillantes sur le réseau d'une organisation.
  • Une capacité accrue à faire appliquer les politiques de sécurité de l'entreprise

Quelles sont les alternatives à l'inspection HTTPS ?

Il n'existe pas de méthode unique et largement acceptée pour lutter contre les logiciels malveillants cachés dans le trafic HTTPS. Certaines mesures peuvent être utiles :

  • Utilisation de pare-feu qui inspectent les certificats de sécurité sans casser le chiffrement pour identifier les comportements suspects.
  • Traiter les risques provenant des employés à la source, par exemple en limitant leur capacité à télécharger des logiciels non approuvés et en améliorant la surveillance des terminaux.
  • Ajustement des règles d'inspection approfondie des paquets au sein d'un pare-feu
  • Utilisation du filtrage DNS et d'une passerelle web sécurisée pour bloquer les connexions avec des sites web ou des serveurs non sécurisés.
  • Utilisation de l'isolation du navigateur pour confiner l'activité de navigation dans un environnement sécurisé et empêcher l'exécution de code non sécurisé à l'intérieur du réseau.

Découvrez comment Cloudflare Gateway bloque les logiciels malveillants et autres risques tout en assurant une surveillance du trafic en temps quasi réel.