Le chiffrement modifie le paysage de la menace cyber, car il permet de passer sous la couverture radar de la plupart des outils d’analyse de trafic. Seule une stratégie de défense multicouche qui prend en charge l’inspection du SSL peut débusquer les attaques chiffrées.
L’utilisation croissante du trafic chiffré légitime pour protéger les données en transit n’a pas manqué d’attirer l’attention des cybermalfaiteurs. Le chiffrage comme méthode pour sécuriser les informations sensibles peut également servir à cacher du trafic malveillant. Selon cette logique, les cybercriminels utilisent des opérations malveillantes avancées et très sophistiquées basées sur le chiffrement pour cacher la charge utile des logiciels malveillants, les activités de commande et de contrôle ou l’exfiltration des informations. Lorsqu’on sait que 80 % de l’ensemble du trafic internet utilise par défaut le chiffrement SSL/TLS, il apparaît évident, et facile, de cacher du code malveillant dans cette énorme masse de données en transit.
Les outils d’analyse semblent démunis face à cette menace tentaculaire. Globalement, les applications d’analyse du trafic réseau conventionnelles n’offrent pas la profondeur d’analyse des paquets nécessaire pour une détection complète, car elles n’ont pas accès à chaque paquet du flux. En outre, la précision de l’analyse dépend en partie du taux d’échantillonnage choisi qui joue également un rôle essentiel dans la précision des résultats. C’est la raison pour laquelle les cybermalfaiteurs ont adopté le chiffrement, dont l’usage se répand tout au long de la chaîne de traitement malveillante, allant des sites d’hameçonnage pourvus de certificats HTTPS valides aux maliciels qui chiffrent leurs communications.
Une augmentation de 260 % de la menace chiffrée en 2020
Développés pour accéder silencieusement aux ressources et continuer à exister pendant une période prolongée, ils chiffrent leurs connexions avec les serveurs de commandement et de contrôle (C&C). Le chiffrement est en passe de modifier le paysage de la menace. L’enquête State of Encrypted Attacks 2020 réalisée par Zscaler a révélé que les menaces reposant sur le chiffrement ont augmenté de 260 % entre janvier et septembre 2020. La plateforme de sécurité a aussi comptabilisé 72 % de sites d’hameçonnage qui se servent de certificats HTTPS valides pour chiffrer la livraison des charges utiles. Sur les neuf premiers mois de l’année elle a constaté une augmentation de 500 % des attaques de ransomware par SSL et de plus de 5 fois le trafic de rançongiciels sur la totalité du trafic web chiffré.
Toujours selon le même rapport, les secteurs les plus touchés par les attaques basées sur le chiffrement SSL sont, sans surprise, ceux de la santé (25,5 %), la finance et l’assurance (18,3 %), l’industrie (17,4 %), le secteur public (14,3 %) et les services (13,8 %). Zscaler a également noté une augmentation des attaques liées aux services de partage de fichiers dans le cloud : « plus de 30 % de toutes les attaques basées sur le SSL se cachent dans des services collaboratifs tels que Google Drive, OneDrive, AWS ou Dropbox », explique la plateforme de sécurité.
Pour débusquer ces attaques, les centres d’opérations de sécurité (SOC), les RSSI et les DSI n’ont pas d’autre choix que de s’appuyer sur des outils d’analyse de trafic spécifiques. Zscaler préconise une stratégie de défense multicouche qui prend en charge l’inspection du SSL. Une approche du renseignement informatique qui permet une analyse instantanée et en temps réel des flux afin d’identifier et de classifier le code crypté selon son degré de nuisance supposé.