NOS ACTUALITES

HTTPS, une illusion de sécurité ?

par | Mai 3, 2019 | 0 commentaires

L’utilisation du protocole HTTPS est-il gage de confidentialité des données échangées, par exemple entre un navigateur et un serveur web ? Une étude sérieuse de 2017[1] explique que ce n’est pas toujours le cas, et que plus de 10% du trafic web HTTPS est intercepté puis déchiffré avant d’arriver à destination !

Cette interception de flux, appelée également inspection SSL/TLS, peut induire une perte de confidentialité des données, mais pas d'alerte, c'est généralement pour votre bien ou celui de votre système d’information. Cette pratique est par exemple utilisée par des outils de « sécurité ».

Ces outils, légitimes ou illégitimes, peuvent être classifiés de la façon suivante :

Ceux, de type « proxy d'entreprise » qui inspectent le contenu des flux afin de :

  • Bloquer des menaces potentielles pour le système d'information de l’entreprise (ex : blocage de malwares comme le fait la solution ProxySG de Symantec) ;
  • Bloquer la consultation de données dont la catégorie est interdite par l'entreprise (ex :  filtrage de contenu web comme le fait la solution Barracuda Web Security Gateway) ;
  • Détecter voire bloquer une exfiltration de données confidentielles (ex : outil de DLP comme Zscaler Cloud).
  • Ces outils usurpent l’identité des serveurs consultés afin de pouvoir déchiffrer puis rechiffrer le contenu à la volée. Pour cela ils s'appuient généralement sur une autorité de certification interne dont le certificat public a été préalablement importé sur le poste de travail des utilisateurs afin que leurs navigateurs n'affichent pas d’avertissement.

Ceux qui sont directement intégrés à l'architecture de certains serveurs afin de :

  • Bloquer des tentatives d'exploitation de vulnérabilités (ex. protection contre les injections SQL par l’outil Fortiweb WAF) ;
  • Mettre en cache le contenu des sites pour réduire la consommation de la bande passante et des ressources matérielles (ex : CDN comme CloudFare).
  • Ces outils sont en principe transparents pour les utilisateurs car ils utilisent le certificat privé des sites consultés (préalablement communiqué par leur gestionnaire) pour déchiffrer le contenu. 

Et enfin, ceux qui sont conçus pour vous nuire en :

  • Insérant des publicités dans le contenu des flux reçus (ex : affaire Lenovo-Superfish) ;
  • Ajoutant des programmes malveillants dans le contenu des flux reçus (ex : trojan TrickBot) ;
  • Détournant des flux financiers en modifiant le bénéficiaire de virements financiers (ex : le proxy Tor onion[.]top) ;
  • Collectant les données personnelles échangées afin de les revendre (ex : certaines applications Android présentées comme des VPN).

Comme les interceptions de flux peuvent être légitimes (encadrées) ou illégitimes (illégales), il est important de savoir les identifier, mais comment faire ?

Une page web a été mise en place par la société Light Code Labs pour vous indiquer si le contenu de votre trafic web est susceptible d’avoir été déchiffré en cours de route.

Ce service utilise une approche heuristique afin de vérifier que les modes de chiffrement compatibles avec la version de votre navigateur (plus de 300 suites cryptographiques et courbes elliptiques possibles) sont cohérents avec ceux communiqués de façon transparente aux serveurs consultés. Si ce n’est pas le cas, cela indique généralement que votre flux a été intercepté et déchiffré en cours de route.

En effet, les outils de déchiffrement n’étant pas compatibles avec toutes les techniques cryptographiques, ils modifient ces valeurs afin de pouvoir déchiffrer les flux. Dans la majorité des cas[1], cette modification induit un affaiblissement du niveau de sécurité et donc une augmentation du risque d’interception illégitime.

En conclusion, veillez à bien choisir vos outils de sécurité car en visant à réduire certain risques (fuite de données, anti-malware…), ils peuvent également induire une diminution du niveau de sécurité du chiffrement HTTPS. (cf. le lobbying de certaines entreprises faisant pression pour réduire le niveau de sécurité de la norme TLS 1.3[2]).

Sources :

[1] https://jhalderm.com/pub/papers/interception-ndss17.pdf

[2] https://www.cyberscoop.com/tls-1-3-weakness-financial-industry-ietf/

Bitnami