Si vous n’êtes pas préparé à une forte augmentation du trafic HTTPS, votre réseau est menacé !
Paradoxal, non ? HTTPS, après tout, est une bonne chose. Comme tout le monde le sait, HTTPS est la version sécurisée du Hypertext Transfer Protocol (HTTP), qui utilise le protocole SSL/TLS pour crypter et protéger le trafic web. Si vous souhaitez privatiser n’importe quelle action en ligne — qu’il s’agisse de l’achat de nouvelles chaussures ou du paiement d’une facture— HTTPS est ce qui protège vos communications des regards mal intentionnés.
Les professionnels de la sécurité ont toujours encouragé l’utilisation d’HTTPS par les applications web. Il semble que leurs vœux aient été exhaussés. Comme le confirme l’ouvrage The Cost of “S” in HTTPS, 50% des flux sur le web sont aujourd’hui sécurisés. En fait, beaucoup des plus grands sites web ont adopté HTTPS comme leur protocole par défaut, dont Google, Facebook et YouTube. Mieux encore, les fournisseurs de navigateurs tels que Google ont même commencé à considérer toutes les pages non HTTPS comme non sécurisées, un nouveau pas vers la standardisation par défaut d’HTTPS.
De nombreux facteurs contribuent à cette ruée vers HTTPS, dont le principal est probablement « l’effet Snowden. » Certes, les spécialistes ont toujours compris la facilité avec laquelle nos conversations sur Internet peuvent être interceptées, mais les documents secrets dévoilés par Edward Snowden n’ont pas seulement permis au grand public d’identifier le risque du ‘man-in-the-middle’ (MitM), mais ont prouvé que les gouvernements y ont participé activement depuis des années. Maintenant que nous savons que quelqu’un nous regarde, nous prenons la protection de nos conversations beaucoup plus sérieusement.
Au sens large, cet accroissement du trafic HTTPS est une bonne chose. Toutefois, sous la surface il dissimule deux écueils qui peuvent sérieusement affecter votre sécurité, si vous n’y êtes pas préparé. Spécifiquement,
1. Les méchants utilisent aussi HTTPS,
2. La sécurisation de ce trafic entraîne de nouvelles contraintes en matière de performances.
Les avantages que vous retirez d’HTTPS profitent également aux hackers. Les pirates veulent dissimuler leurs communications, qu’il s’agisse de leurs téléchargements de malware ou des canaux de commande et de contrôle (C&C) que leur malware utilise pour communiquer avec eux. HTTPS fournit un mécanisme très efficace pour faire précisément cela. Les méchants ont compris que HTTPS est typiquement un « trou noir » pour vos outils de sécurité réseau, et ont donc commencé à l’utiliser pour leurs activités malveillantes, afin de les masquer.
C’est la raison pour laquelle il est plus important que jamais de commencer à sécuriser HTTPS. Vous avez besoin de solutions de sécurité capables de “voir” à l’intérieur des communications HTTPS, et d’y appliquer les scans traditionnels de sécurité (IPS, antivirus, etc.).
Heureusement, il existe une solution à ce problème. De nombreuses solutions de sécurité réseau actuelles, telles que de nouvelles versions de boîtiers UTM, des firewalls de nouvelle génération (NGFW), et d’autres proxies de sécurité, disposent de passerelles sur la couche applicative ou de capacités d’inspection DPI pour HTTPS. En gros, ils effectuent une attaque MitM « amicale » sur HTTPS afin de le décrypter de façon temporaire et de mettre en œuvre les scans de sécurité. Le boîtier ré encrypte ensuite le trafic pour le délivrer au réseau. Ces outils nécessitent que vos clients acceptent un certificat numérique, afin de maintenir la confidentialité de la connexion HTTPS. En bref, ils vous permettent de potentiellement détecter des activités malicieuses dans un trafic normalement indéchiffrable, sans remettre en cause la vie privée de vos utilisateurs.
Toutefois, sécuriser le trafic HTTPS met en lumière et exacerbe le second problème – les contraintes d’HTTPS en matière de performances. En termes simples, encrypter quelque chose consomme des ressources de traitement et accroît le volume du trafic. Si vous désirez savoir dans quelle proportion, il vous suffit de consulter l’ouvrage que j’ai cité précédemment. En gros, les conséquences ne sont pas négligeables, mais nous disposons généralement des ressources processeur et réseau pour les gérer… Ceci, avant d’y ajouter les solutions de sécurité dont j’ai parlé plus haut.
Comme je l’ai mentionné précédemment, des solutions de sécurité peuvent maintenant décrypter le trafic HTTPS. Toutefois, ce décryptage double le temps de traitement d’HTTPS, le boîtier de sécurité devant décrypter puis ré encrypter avant de délivrer le trafic. De plus, dans l’environnement actuel riche de menaces, vous souhaiterez que plusieurs couches de sécurité (par exemple IPS, antivirus, détection C&C) contrôlent votre trafic HTTPS. Si vous avez mis en place un contrôle de sécurité séparé pour chaque couche, chacune d’entre elles nécessite un traitement, ce qui ralentit singulièrement le trafic. Si 50% du trafic Internet est en protocole HTTPS, cela représente un vrai goulet d’étranglement.
La solution ? Utiliser des contrôles de sécurité tout en un conçus pour traiter la charge HTTPS. Un des avantages des nouveaux boîtiers UTM et des firewalls de nouvelle génération est que leurs couches de sécurité sont toutes appliquées en un seul point. Ceci veut dire qu’ils n’ont à décrypter HTTPS qu’une seule fois. Cependant, si votre sécurité dépend à ce point d’un seul boîtier, mieux vaut être sûr qu’il sera capable de supporter la charge. Beaucoup de boîtiers UTM ou Next Generation Firewalls mettent en avant leurs performances firewall, qui ne tiennent pas compte des autres contrôles de sécurité et de l’inspection des paquets HTTPS. Il est donc très important d’examiner la performance du boîtier lorsque tous les contrôles de sécurité sont activés, et spécialement l’inspection des paquets HTTPS. Ce n’est qu’une fois cette vérification faite que vous saurez si votre boîtier sera capable ou non de traiter, et de sécuriser, l’explosion des flux HTTPS.
Pour résumer, l’usage accru du protocole HTTPS est une très bonne chose pour la sécurité du web. Toutefois, vous devez vous assurer que vos solutions de sécurité en place sont capables réellement d’identifier les menaces à l’intérieur d’HTTPS, et qu’elles peuvent supporter l’accroissement de la charge HTTPS induit par l’effet Snowden. (Par Pierre Poggy, Country Manager Watchguard France / TechDirt)