Ces dernières années ont vu croître de façon extraordinaire les attaques, dont celles dites chiffrées. En 2020, selon Gartner, 50% des attaques étaient chiffrées. En 2022 on sait que plus de 80% du trafic Internet dans le monde est chiffré et représente toujours un vecteur de menaces extrême. Les entreprises ont besoin de moyens efficaces de déchiffrement, de contrôle et de rechiffrement.
Gigamon rappelle que les cybercriminels utilisent encore le chiffrement pour dissimuler des logiciels malveillants, cacher le trafic de commande et de contrôle ainsi que pour masquer l’exfiltration des données volées. Au regard de la quantité de trafic chiffré, y compris avec la derniere norme cryptographique TLS 1.3, l’importance de l’inspection du trafic pour une posture « Zero Trust » s’impose.
Pour protéger leurs données vitales, les entreprises et autres organisations mettent en œuvre le protocole TLS (Transport Layer Security), communément appelé Secure Socket Layer (SSL), pour chiffrer les données lors de leur échange sur les réseaux IP. Le déchiffrement SSL/TLS crée un canal sécurisé entre le serveur et l’ordinateur de l’utilisateur final ou d’autres dispositifs lorsqu’ils échangent des informations sur internet et différents navigateurs.
TLS est une norme reconnue basée sur un système de règles de confiance et de certificats émis par des autorités de certification et reconnus par les serveurs. Le protocole SSL a été remplacé par la norme TLS en 2015. En 2018, La version TLS 1.3 a été normalisée, celle-ci rendant obligatoire l’utilisation du « Perfect Forward Secrecy » pour une sécurité maximale.
Le déchiffrement SSL/TLS est devenu essentiel pour sécuriser les réseaux en raison de la croissance significative des applications et des services utilisant du trafic chiffré. Mais les logiciels malveillants utilisent de plus en plus les sessions SSL/TLS pour se cacher, persuadés que les outils de sécurité n’inspectent pas et ne bloquent pas l’ensemble de leur trafic. Lorsqu’ils parviennent à cacher du code malveillant dans les innombrables flux de données en transit, le chiffrement SSL/TLS peut devenir un handicap, camouflant un trafic corrompu. En d’autres termes, la technologie qui sécurise Internet devient le vecteur de menace.
L’activation du déchiffrement SSL/TLS utilise le certificat racine sur les machines clientes, agissant comme autorité de certification pour les demandes SSL/TLS. Ce processus permet à un déchiffreur SSL de déchiffrer, d’effectuer une inspection détaillée, puis de rechiffrer le trafic SSL avant de l’envoyer à sa destination. Cela permet de s’assurer que seul le trafic SSL/TLS autorisé pénètre sur le réseau et que les logiciels malveillants cachés dans les sessions SSL/TLS sont exposés et traités lors du déchiffrement SSL.
Yann Samama, ingénieur avant-ventes sénior confirme : « l’augmentation constante du trafic chiffré oblige les organisations à comprendre les flux, d’abord pour une exigence de sécurité et aussi pour garantir la performance et une bonne expérience utilisateurs. Les environnements de plus en plus complexes et changeants, notamment sur le cloud, impliquent de mieux regarder pour organiser et hiérarchiser les données. Déchiffrer et observer les flux, c’est agir en avance de phase pour capturer d’éventuelles anomalies que l’on transfère aux outils de sécurité afin d’optimiser leurs fonctions ».