Associant le protocole HTTP à un système de chiffrement de type SSL ou TLS, le HTTPS garantit aux visiteurs d’un site le respect des règles de confidentialité et sa fiabilité. Pour autant, son essor rapide attire toujours plus de cybercriminels.
Selon l’étude Gartner Predicts 2017, 80% du trafic des entreprises sur le web sera chiffré d'ici 2019. « Un nombre croissant d'attaques de logiciels malveillants vont se déplacer sur HTTPS pour dissimuler l'infection initiale », note le cabinet de conseil.
Un nombre croissant d'attaques de logiciels malveillants vont se déplacer sur HTTPS pour dissimuler l'infection initiale
Gartner Predicts 2017
Autant dire que ce protocole de communication sécurisé HyperText Transfer Protocol Secure (soit HTTPS) pourrait vite se transformer en cheval de Troie. Un paradoxe pour une technique dite sécurisée. Symbolisée par un petit cadenas placé juste avant l’URL du site visité, elle certifie l’authentification de l’application web, garantit la confidentialité et l’intégrité des données transmises et valide l’identité du visiteur ou du client.
La rançon du succès
Ce protocole tend à devenir la norme pour sécuriser les flux sur le Web, notamment en matière de e-commerce. Le phénomène s’est accéléré depuis que Google l’a tout simplement imposé aux sites internet qui souhaitent améliorer leur référencement. Depuis janvier 2017, le navigateur Google Chrome, leader sur le marché, marque ainsi les pages de connexion HTTP comme « non sécurisées ». Selon l’autorité de certification Let's Encrypt, 65% des pages Web chargées par Firefox en novembre 2017 ont utilisé HTTPS, contre 45% à la fin de 2016.
Mais le HTTPS semble bien être victime de ce succès. En effet, l’accroissement du trafic via ce protocole n’a pas que du bon : les cybercriminels, eux aussi, profitent de ce protocole pour dissimuler leurs actions malveillantes. Fin 2017, un quart des attaques de phishing (ou hameçonnage) étaient hébergées sur des domaines HTTPS, contre moins de 3% en 2016. Statistiquement, la multiplication des sites HTTPS se traduit par une augmentation des sites d’hameçonnage, visant à dérober aux visiteurs leurs identifiants, mots de passe ou numéros de carte bancaire.
Faut-il rappeler que le chiffrement des données en transit ne garantit en rien la sécurité du site proprement dit ? Les hameçonneurs jouent justement sur ce malentendu auprès du grand public. Ainsi, une grande partie d’entre eux hébergent aujourd’hui leurs actions de phishing sur des domaines qu’ils ont eux-mêmes préalablement enregistrés après avoir obtenu une certification valide. En rendant ainsi plus rassurants leurs sites de phishing aux yeux de victimes potentielles, ils accroissent sensiblement l’efficacité de leur entreprise criminelle.
Si le HTTPS ne suffit pas, comment se protéger efficacement ?
La duplicité des cybercriminels incite donc plus que jamais à sécuriser HTTPS. Des solutions existent à commencer par de nouvelles versions de boîtiers UTM, des pare-feu nouvelle génération (NGFW) et d’autres proxies de sécurité effectuant un déchiffrement et rechiffrement du HTTPS, sans menacer la confidentialité des données des utilisateurs.
« On peut se contenter d’analyses sans déchiffrement ou recourir à la technique de l’IP reputation [liste d’adresses suspectes], notamment pour le gros du trafic concernant des sites connus et sécurisés, mais l’efficacité restera partielle », note Boris Maréchal, Product Leader Network Security chez Stormshield. « Pour les sites à risques, il vaut mieux procéder à des analyses avec déchiffrement permettant une meilleure détection des attaques ».
Mais cette procédure, consommatrice en ressources de traitement, suppose que le boîtier déchiffre les données pour les contrôler, avant de les re-chiffrer. Le trafic peut alors être ralenti, surtout si plusieurs couches de sécurité ont été installées (IPS, antivirus, détection C&C…). Là encore, les solutions de dernière génération peuvent aider. Sont alors à privilégier les nouveaux boîtiers UTM et la dernière génération de pare-feu, dont les couches de sécurité collaborent sur le même équipement, nécessitant un seul déchiffrement. Encore faut-il bien sûr s’assurer de leur dimensionnement pour supporter la charge ainsi induite.
La protection des postes, une mesure incontournable
De telles mesures ne peuvent suffire si l’on n’a pas parallèlement protégé les extrémités de réseau, à commencer par les postes qui, une fois corrompus, peuvent devenir une arme se retournant contre l’administrateur. « En complément de l’analyse sur le réseau, il est utile de déployer des solutions Endpoint sur les postes recevant et émettant des données. Contrairement aux anti-virus, qui ne peuvent détecter que des menaces connues, nos solutions Endpoint utilisent une approche comportementale afin de bloquer des attaques Zero-Day », conseille Adrien Brochot, Product Leader Endpoint Security chez Stormshield.
