L’idée que la technologie se retourne contre les humains qui l’ont créée et entraîne la destruction totale de la planète est un thème traité dans de nombreux films de science-fiction. Dans la réalité, un tel scénario a peu de chances de se produire… Pourtant, en ce début d’année 2020, certaines technologies, originellement conçues avec les meilleures intentions du monde, commencent à laisser entrevoir leur face obscure, nous mettant au défi de trouver de nouvelles façons de les exploiter et de les gérer.
Parmi ces technologies figure le chiffrement. Développé il y a de nombreuses années dans le but de renforcer la sécurité des données et flux de données numériques, il est aujourd’hui déployé dans une multitude de produits grand public. Internet a d’ailleurs largement contribué à accélérer l’usage de la technologie de chiffrement. Actuellement, plus de 80 % du trafic Internet mondial est chiffré. WhatsApp, par exemple, applique une technologie de chiffrement pour garantir à ses utilisateurs que leurs messages seront uniquement accessibles aux destinataires légitimes. Dans un monde où les cybercriminels sont actifs 24 heures sur 24, 7 jours sur 7, et essaient de récolter le plus de données possible, ce niveau de sécurité constitue un élément essentiel de l’échange d’informations en ligne.
300 millions d’attaques par mois
Cependant, la prévalence et le succès de la technologie de chiffrement n’ont pas échappé aux pilleurs de données sur Internet. Depuis des années, les cybercriminels adoptent toutes sortes de ruses pour continuer à poursuivre leurs objectifs. Ils emploient une myriade de techniques, comme des e-mails de phishing, l’usurpation d’identité, le cybersquatting (squattage de domaines) et le défacement de sites Web, afin de mettre la main sur les données et/ou l’argent de leurs victimes. L’une de leurs dernières trouvailles consiste à envoyer un code malveillant sous forme chiffrée pour tenter de contourner les programmes de sécurité traditionnels incapables de voir le contenu des paquets de données chiffrés ou bien délibérément conçus pour ne pas le déchiffrer par respect de la vie privée des utilisateurs. Certaines solutions de sécurité ne disposent tout simplement pas de capacités suffisantes pour vérifier le contenu de l’ensemble du trafic chiffré. Les cybercriminels déploient déjà des menaces chiffrées à très grande échelle.
En 2019, nous avons enregistré près de 300 millions d’attaques de ce type par mois !
Autorités de certification
De nombreuses entreprises pensent être protégées des attaques contre les données chiffrées par SSL (Protocole Secure Sockets Layer) sous prétexte qu’elles utilisent une infrastructure à clé publique (PKI). Une PKI fournit la technologie nécessaire au chiffrement du trafic Internet, avec notamment un composant appelé « autorité de certification ». Les autorités de certification sont chargées de gérer et de sécuriser les clés uniques et de fournir aux sites Web des certificats tenant lieu de clé pour le « cadenas » du navigateur. De nombreuses autorités de certification très efficaces mettent tout en œuvre pour assurer la sécurité des communications. Néanmoins, n’importe qui peut en principe déployer une infrastructure PKI et émettre des certificats. Nombre d’autorités de certification jouissant d’une bonne réputation effectuent des contrôles et des vérifications générales. Mais beaucoup d’autres, moins bien considérées, sont connues pour délivrer des certificats à des acteurs malveillants sans aucun contrôle. Ces acteurs n’ont donc aucune difficulté à bâtir leurs propres sites Web chiffrés en apparence parfaitement légitimes. Une transaction numérique semblera ainsi sûre alors qu’elle ne l’est pas. Garantie de confidentialité et d’intégrité, le chiffrement SSL/TLS donne aux utilisateurs l’assurance que leurs données ne seront pas consultées ni manipulées lors de leur transfert. Le petit cadenas affiché dans notre navigateur ne nous dit toutefois rien des intentions de la personne (ou du système) avec laquelle nous communiquons.
Un dilemme pour les DSI
Ce phénomène a mis de nombreux DSI face à un dilemme complexe.
Ils n’ont certes pas à se demander s’il convient ou non de chiffrer les données en transit. Il est évident que le chiffrement améliore sensiblement la sécurité et il est de toute façon souvent obligatoire. Le défi réside plutôt dans le trafic de données entrantes déjà chiffrées. Si la plupart des DSI comprennent que l’inspection des données chiffrées renforce la sécurité, certains hésitent à se lancer dans une telle opération. En effet, les entreprises ne disposent pas toujours de la technologie requise pour vérifier efficacement les données chiffrées entrantes. Leur hésitation s’explique aussi par des incertitudes concernant les droits des employés à la vie privée. Ces doutes contribuent à maintenir le statu quo. Les entreprises acceptent ainsi le trafic de données chiffrées sans se poser de questions, même si elles ignorent ce que renferment les paquets de données et s’ils sont susceptibles de nuire à leur activité ou à leurs employés.
Le règlement général sur la protection des données (RGPD) introduit courant 2018 est l’une des raisons qui amènent de nombreux DSI à douter de la légitimité des mesures d’analyse du trafic de données chiffrées. Bien qu’il n’indique pas exactement quelles mesures préventives les entreprises doivent prendre afin d’assurer leur conformité, le règlement est très clair sur un point : les entreprises sont tenues de fournir un environnement de travail numérique sécurisé à leurs employés. Si une entreprise n’a aucune idée des données qui transitent dans ses systèmes et de leurs répercussions potentielles, cela signifie qu’elle ne fait pas tout ce qui est en son pouvoir pour instaurer un environnement de travail (numérique) sécurisé tel que décrit à l’article 32 du RGPD.
Les DSI préoccupés par la protection de la vie privée ne doivent pas oublier ceci : lors de l’inspection, il est possible de configurer les rapports et les journaux (ou, plus précisément, les fichiers générés à partir de ceux-ci) de sorte que seules les métadonnées soient visibles aux opérateurs. Tous les champs relatifs aux données personnelles seront masqués. Cette approche offre suffisamment d’informations pour effectuer un contrôle technique des données. Si la vérification indique qu’un incident est survenu et justifie par conséquent la divulgation des informations à caractère personnel, il est alors possible de lancer une procédure d’accès aux données personnelles masquées. Cette opération n’intervient que dans des circonstances exceptionnelles, par exemple si quelqu’un est soupçonné de fuite de données ou pour identifier les utilisateurs dont le système a été victime d’une tentative de piratage. Les représentants des RH ou du service juridique sont souvent impliqués dans ce genre de procédures. Les entreprises peuvent en outre définir ces processus dans leurs politiques de protection de la vie privée, que les employés seront censés connaître et comprendre.
Un cloud sécurisé offre la meilleure réponse
Les organisations choisissent de plus en plus souvent d'envoyer et de recevoir tout leur trafic de données via un Cloud sécurisé. En effet, ces services ont une capacité suffisante pour analyser de grandes quantités de données, y compris des données chiffrées, dans des délais très courts avant de les transmettre aux utilisateurs finaux. L'un des principaux avantages de cette méthode de travail est que le processus de déchiffrement et d'inspection se déroule dans le cloud, ce qui signifie que les organisations n'ont pas besoin de faire d'énormes investissements en matière de puissance de traitement - et qu'elles ne reçoivent que les données qui ont été approuvées par le fournisseur du cloud sécurisé. Grâce à la technologie du cloud, les organisations peuvent continuer à bénéficier de la puissance du chiffrement, rester conformes aux réglementations, telles que la RGPD, et garantir à leurs employés que leur vie privée et leurs données seront protégées sur tous leurs appareils…
Par Luc van Deuren, architecte de solutions pour l’Europe du Nord chez Zscaler