L'inspection du trafic peut aider les organisations à détecter les logiciels malveillants, mais les risques de sécurité de l'inspection HTTPS doivent être examinés attentivement.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que la sécurité des applications web ?
Qu’est-ce qu’une violation des données ?
Qu'est-ce que Meltdown/Spectre ?
Pare-feu
Attaque de l'homme du milieu
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L'inspection HTTPS est le processus qui consiste à vérifier le trafic web chiffré en utilisant la même technique qu'une attaque on-path sur la connexion réseau. Il s'agit d'une fonctionnalité de certains dispositifs de mise en réseau d'entreprise, de pare-feu, et de produits de gestion des menaces.
Une organisation peut souhaiter inspecter le trafic HTTPS pour rechercher les logiciels malveillants , identifier les tentatives d'exfiltration de données et bloquer l'accès à des sites Web spécifiques. Les logiciels malveillants posent un problème de sécurité car ils peuvent paralyser les opérations commerciales, voler des données ou rendre des fichiers inaccessibles.
L'inspection HTTPS porte de nombreux noms, notamment inspection SSL, inspection TLS, rupture et inspection TLS et interception HTTPS.
Lorsqu'une entreprise utilise l'inspection HTTPS pour se protéger des logiciels malveillants, elle emploie un produit qui établit deux connexions chiffrées distinctes et se fait passer pour le client et le serveur. Le produit recherche les menaces malveillantes à bloquer, sans que le client ne sache qu'il n'y a pas une seule connexion validée de bout en bout.
À titre d'exemple, imaginons qu'un élève passe une note à un ami en classe sans se rendre compte que la personne assise entre eux peut lire le contenu du message. Dans ce scénario, l'expéditeur croit que la note est scellée pendant le transport, sans se rendre compte qu'elle peut être ouverte et fermée sans aucun signe évident. L'inspection HTTPS diffère toutefois de cet exemple sur un point important : l'expéditeur n'est même pas conscient de la présence d'un intermédiaire.
Normalement, lorsqu'un site Web utilise TLS, le périphérique client (l'ordinateur ou le smartphone d'un utilisateur) se connecte directement au serveur hôte du site Web et établit une connexion chiffrée. Une fois la connexion chiffrée établie, le trafic entre le client et le serveur est entièrement chiffré, et personne au milieu ne peut voir le trafic.
Au cours de l'inspection HTTPS, le produit établit deux connexions SSL - une au serveur et une au client. Du point de vue du client, il se connecte directement au serveur, sans intermédiaire. En revanche, le trafic est redirigé vers le produit d'inspection, qui se fait passer pour le site Web. Il a la possibilité de visualiser, de modifier et de bloquer le contenu.
Dans les premiers temps d'Internet, le trafic était envoyé en clair sur HTTP . Cela signifie que rien n'était chiffré et que si quelqu'un interceptait le trafic, toutes les données étaient exposées.
Avec HTTPS - la version sécurisée de HTTP - le trafic est chiffré. Le client et le serveur passent par un processus de communication en va-et-vient pour établir une connexion sécurisée.
HTTPS protège le trafic Internet contre la surveillance par des parties non autorisées. Cependant, il peut aussi aider les mauvais acteurs à cacher leurs traces. HTTPS crypte et masque tout type de données, qu'il s'agisse de données bancaires d'une personne ou de logiciels malveillants d'un attaquant.
L'icône de cadenas d'un navigateur pour une connexion HTTPS signifie que les données circulant entre un utilisateur et un serveur sont chiffrées, mais pas que tout ce qui concerne le site web est garanti contre les attaques ou les fouilles. Un site Web géré par une entreprise de confiance, comme une institution financière, peut présenter une faille de sécurité et constituer à son insu une menace pour les utilisateurs. Par ailleurs, un attaquant peut mettre en place un site Web malveillant qui semble sûr parce qu'il dispose d'un certificat SSL et chiffre le trafic.
Si elle n'est pas effectuée correctement, l'inspection HTTPS peut créer des failles de sécurité. Pour le trafic normal, non inspecté, un navigateur peut valider la connexion de bout en bout - vérifier que le certificat est valide garantit que le client communique avec le serveur qui possède le domaine.
En interrompant ce processus, l'inspection peut introduire plusieurs problèmes si l'on n'y prend pas garde :
L'inspection HTTPS fournit :
Il n'existe pas de méthode unique et largement acceptée pour lutter contre les logiciels malveillants cachés dans le trafic HTTPS. Certaines mesures peuvent être utiles :
Découvrez comment Cloudflare Gateway bloque les logiciels malveillants et autres risques tout en assurant une surveillance du trafic en temps quasi réel.