Les techniques de chiffrement sont utilisées depuis des siècles pour protéger les communications. Elles se sont perfectionnées grâce à l’informatique et des méthodes plus complexes ont été développées. Le chiffrement du trafic Internet a commencé à se développer dans les années 1980. Le protocole SSL (Secure Sockets Layer) a été lancé à cette époque pour sécuriser les communications entre les navigateurs et les serveurs web. Dans les années 1990, le chiffrement du trafic Internet a commencé à se généraliser. Le protocole TLS (Transport Layer Security), une version améliorée de SSL, a été adopté par de nombreux sites web et applications.
Aujourd’hui, le chiffrement du trafic Internet est une pratique courante. Google indique que 95 % de l’ensemble du trafic web est chiffré. Il est utilisé pour protéger une grande variété de communications, notamment les transactions bancaires en ligne, les communications par courrier électronique et les communications VoIP. Toutefois, malgré les progrès accomplis pour le rendre incassable, il semble bien que ce ne soit pas la panacée.
Une majorité d’attaques transite par des canaux chiffrés
Le chiffrement du trafic Internet présente certaines vulnérabilités comme les failles de sécurité dans les protocoles de chiffrement. Certains algorithmes anciens ou mal conçus peuvent aussi présenter des vulnérabilités. Des failles dans des algorithmes comme SSL et les premières versions de TLS ont été exploitées dans le passé. Les certificats SSL/TLS peuvent aussi être compromis. Par exemple, un certificat peut être émis de manière frauduleuse, ou l’autorité de certification peut être compromise. On peut citer également les attaques par force brute ou les attaques MITM ou « Man in the Middle ».Le rapport « Zscaler ThreatLabz 2023 State of Encrypted Attacks » met en lumière l’augmentation des menaces sur les canaux chiffrés au cours de l’année dernière. Ses chercheurs rapportent qu’un pourcentage important (85,9 %) de l’ensemble des menaces est désormais transmis par des canaux chiffrés. Dans ce paysage, les logiciels malveillants chiffrés constituent une menace majeure, représentant 78,1 % des attaques observées, ChromeLoader étant la famille la plus répandue, suivie de MedusaLocker et de Redline Stealer. Les logiciels malveillants chiffrés comprennent des contenus web malveillants, des charges utiles de logiciels malveillants, des logiciels malveillants basés sur des macros, etc.
Les vulnérabilités des navigateurs pour distribuer des logiciels espions
Entre octobre 2022 et septembre 2023, le cloud de Zscaler a bloqué 29,8 milliards d’attaques intégrées au trafic chiffré (SSL/TLS). Cela représente une augmentation de 24,3 % par rapport à 2022, qui était elle-même supérieure de 20 % à celle de l’année précédente.Selon l’étude, les pirates informatiques, sans doute rebutés par les efforts des entreprises pour sécuriser les accès, et les applications, se rabattent sur les canaux chiffrés. C’est ce qui explique l’augmentation exponentielle des attaques via les « browser exploits » et de son corollaire, les sites abritant des logiciels espions. Le rapport souligne que les exploits de navigateurs et les sites de logiciels espions ont augmenté respectivement de 297,1 % et 290,5 % d’une année sur l’autre, « ce qui indique une tendance inquiétante à l’utilisation de canaux cryptés pour exploiter les vulnérabilités des navigateurs web et distribuer des logiciels espions », s’inquiètent les rédacteurs du rapport.
En ce qui concerne l’hameçonnage via des canaux chiffrés, ThreatLabz a constaté une augmentation de 13,7 % d’une année sur l’autre. Cette hausse est probablement due à l’accessibilité des kits d’hameçonnage en tant que service et à l’intelligence artificielle, qui permettent à plus d’acteurs de se lancer dans les campagnes d’hameçonnage, explique le rapport. Du côté des victimes potentielles et actuelles, les chiffres se confirment. Parmi les entreprises ayant subi des attaques, 85 % ont observé des attaques via des canaux
« de confiance », tels que les sites légitimes d’organisations de confiance ou de
fournisseurs tiers.
Le trafic HTTPS ne doit pas être considéré comme plus fiable
Ces résultats révèlent que le trafic HTTPS ne doit pas être considéré comme plus fiable que tout autre trafic entrant ou sortant de l’organisation. Car il est « une arme à double tranchant » : tout en protégeant les informations et les données sensibles, il donne aux cybercriminels de nouveaux moyens pour dissimuler leurs activités malveillantes. Les attaquants utilisent des canaux chiffrés pour dissimuler les charges utiles, exécuter des escroqueries par hameçonnage, exfiltrer des données…Les outils les plus couramment utilisés pour inspecter le trafic SSL/TLS sont les pare-feu de niveau réseau, les pare-feu d’application web et les mandataires web. Toutefois, l’inspection du trafic, qui peut apparaître comme la solution à ce problème, n’est pas pleinement utilisée pour diverses raisons. Certes, les entreprises privilégient l’efficacité opérationnelle aux tracasseries technologiques. Ce n’est pas étonnant que les principaux obstacles à l’inspection du trafic SSL/TLS comprennent des problèmes de performances, la peur d’une mauvaise expérience utilisateur, des coûts élevés et des problèmes de montée en charge. Ceci sans compter les défis posés par des infrastructures complexes, des coûts élevés et des problèmes de performance.
Selon le rapport, les principales difficultés auxquelles les entreprises sont confrontées lors de l’inspection du trafic SSL/TLS comprennent la gestion d’infrastructures complexes (51 %), les coûts élevés pour l’infrastructure et la maintenance (44 %), et la dégradation de l’expérience utilisateur et des performances (29 %). De plus, les entreprises sont préoccupées par la capacité de leurs outils de sécurité à scanner le trafic SSL/TLS de manière évolutive et à l’épreuve du futur, 65 % d’entre elles étant « modérément »
à « extrêmement » préoccupées par cette question. Ceci explique pourquoi 65 % des organisations prévoient d’augmenter leur taux d’inspection du trafic SSL/TLS au cours des douze prochains mois.
