Cybersécurité et trafic chiffré : gare aux 4 principaux préjugés

Dans un monde où les cyberattaques sont permanentes et de plus en plus perfectionnées, il paraît essentiel de chiffrer les flux de certaines données, qu'elles soient sensibles ou non.

Le chiffrement consiste à sécuriser des flux par la traduction du texte brut en texte chiffré, empêchant ainsi la lecture des données.

Depuis 2018, nous constatons une évolution marquée du chiffrement des flux réseaux sur Windows, Android, Chrome, Linux, ou Mac, supposant ainsi la fin de l’analyse réseau. Les malfaiteurs se servent du trafic chiffré pour passer sous la couverture radar et s’infiltrer dans le réseau. Or, avec l’arrivée de la dernière version du protocole de chiffrement TLS 1.3, il devient de plus en plus compliqué de déchiffrer le trafic réseau. Est-il donc nécessaire de déchiffrer pour détecter ?

Voici les 4 principaux préjugés qui pourraient avoir des conséquences importantes sur la continuité d’activité d’une entreprise.

Préjugé n°1 : Les secteurs privés et professionnels ont les mêmes besoins en termes de chiffrement 

Le besoin au sein du secteur professionnel est différent de celui du monde privé. L’enjeu du chiffrement relevant de la sphère privée réside dans la garantie de la confidentialité des activités des particuliers sur la Toile. Celle-ci se traduit par le maintien de leur navigation privée, ou encore par la sécurisation de leurs données lors d’un achat sur internet.

A l’inverse, une entreprise dispose d’un besoin diamétralement opposé puisque le chiffrement n’est pas une option. Pour maintenir son SI en bonne santé, une entreprise se doit de garder un contrôle sur l’ensemble des activités au sein de son réseau. Elle utilisera ainsi des protocoles totalement différents de ceux de la sphère privée, où le DoH est interdit et les requêtes DNS sont surveillées, pour contrôler et stocker son historique. De plus, avec l’évolution des normes et des lois en vigueur, le besoin de contrôler l’activité réseau grandit de plus en plus au sein des organisations.

Dans ces deux mondes complètement différents, attention donc à la transposition des besoins : un élément de chiffrement chez un particulier ne suppose pas obligatoirement son implémentation au sein d’une entreprise.

Préjugé n°2 : Les attaques passent par des canaux chiffrés 

Si on regarde une attaque dans sa globalité, en réalité peu de flux sont chiffrés. Il suffit d’observer les modes opératoires des attaquants (MITRE Att&ck) et à quel moment les flux deviennent (potentiellement) chiffrés.

Que cela soit dans le cadre d’une tentative de phishing, d’une exploitation d’une vulnérabilité, dans l’utilisation de mouvements latéraux etc., la plupart des attaques commencent toujours par des flux rarement chiffrés, voire non chiffrés. Concrètement, lors d’une tentative de phishing, le binaire malicieux sera en clair, ou du moins les requêtes DNS nécessaires pour le téléchargement d’un binaire. 

Ce n’est qu’une fois que l’attaquant a un contrôle parfaitement maitrisé de l’infrastructure , qu’il peut devenir furtif et effacer ses traces.

Préjugé n°3 : Les outils de déchiffrement voient tout

Il existe un grand nombre de technologies participant au déchiffrement comme le Network Packet Broker (NPB) ; Firewall ; TAP SSL ; PROXY ; Agent / EDR ; WAF ; Load Balancer etc. Cependant, chacune de ces technologies possède ses spécificités et dispose d’une efficacité variable relatives aux environnements au sein desquels elles interviennent. Elles ne sont donc pas capables de tout déchiffrer en fonction de chaque situation.

De plus, contenant et contenu sont souvent confondus dans le processus de déchiffrement. Aujourd’hui, les entreprises commettent souvent l’erreur de se concentrer sur le déchiffrement du contenant, notamment de HTTPS dans la majorité des cas. Sauf que les hackers l’ont bien compris : ils  chiffrent désormais uniquement le contenu de la donnée (payload), la rendant inaccessible et inexploitable. Dans ce cas de figure, aucune technologie n’est donc capable de déchiffrer le contenu.

Préjugé n°4 : Les métadonnées ne suffisent pas pour détecter les menaces

Les métadonnées sont souvent perçues comme la nouvelle donne dans la détection des flux chiffrés.

Très riches en informations, elles sont une véritable mine d’or pour les organisations souhaitant analyser le flux qui traverse leur réseau.

En étudiant les statistiques et fréquences d’apparition de patterns, pics de communications, et autres, les algorithmes de Machine Learning sont capables de fournir des informations extrêmement pertinentes et générer des alertes grâce à l’analyse des métadonnées. Par exemple, un service d’enquête criminelle peut récupérer des informations essentielles quant aux échanges chiffrés des cybercriminels.

Les métadonnées sont donc parfaitement suffisantes pour investiguer et analyser le flux réseau car le chiffrement ne constitue pas un obstacle à l’identification d’une potentielle menace.

Pour établir une stratégie complète de cybersécurité au sein d’une entreprise, il est donc important de se libérer des préjugés pouvant aveugler la prise de décision. Le chiffrement n’entrave pas la détection d’une potentielle cybermenace. Certes, il existe de nombreux outils innovants permettant d’accompagner les entreprises dans le déchiffrement, mais encore faut-il savoir comment les implémenter et dans quel environnement les intégrer.