Qu’est-ce que le trafic chiffré ?

La grande majorité du trafic Internet est chiffré, principalement en utilisant TLS pour garantir la confidentialité, l’intégrité et l’authenticité des données. Le Transport Layer Security (TLS) est un protocole réseau qui enveloppe d’autres protocoles dans une couche de chiffrement, et constitue la différence entre HTTP et HTTPS pour le trafic web. Le chiffrement protège contre l’écoute clandestine mais ne garantit pas que le trafic chiffré est sûr.

Bien que le TLS soit surtout connu pour son chiffrement des données, il offre également une protection pour l’intégrité et l’authenticité des données. Par défaut, HTTPS authentifie l’identité du serveur à l’aide d’un certificat numérique, et le TLS mutuel (mTLS) fait de même pour le client.

Points clés

• Le trafic chiffré est une communication réseau protégée en transit, le plus souvent avec TLS.
• Le chiffrement améliore la confidentialité et l’intégrité, et il est désormais la norme pour la plupart des trafics web et d’application.
• Les charges utiles chiffrées réduisent ce que de nombreux outils de sécurité réseau peuvent observer et appliquer directement.
• Les organisations gèrent le trafic chiffré en utilisant un mélange de politiques, d’inspection basée sur le déchiffrement sélectif et de méthodes de visibilité sans déchiffrement.
• Les protocoles modernes et les fonctionnalités de confidentialité, y compris les comportements de TLS 1.3, QUIC, HTTP/3 et ECH, peuvent modifier les métadonnées qui restent observables.
• Les équipes doivent généralement faire des compromis entre la visibilité de la sécurité et la fiabilité des applications, la confidentialité des utilisateurs et les exigences de minimisation des données.

Que signifie « chiffré » dans le trafic réseau ?

Le trafic chiffré fait référence au chiffrement des données en transit, souvent en utilisant TLS (un remplacement pour le SSL non sécurisé). Les données peuvent également être chiffrées au repos en utilisant AES et des algorithmes similaires. Le chiffrement des données en transit convertit le trafic réseau en texte chiffré illisible avant que l’expéditeur ne le transmette sur le réseau. Le destinataire possède la clé de déchiffrement et peut l’utiliser pour restaurer les données d’origine.

Quels sont les exemples courants de trafic chiffré ?

La plupart du trafic Internet est désormais chiffré, car le chiffrement aide à garantir l’authenticité et l’intégrité des données transmises, tout en les protégeant contre l’écoute clandestine. Par exemple, la plupart du trafic web moderne – y compris la navigation web, le trafic des applications SaaS, les appels API et le trafic des applications mobiles – utilise le protocole HTTPS chiffré, qui encapsule HTTP dans TLS.

D’autres protocoles réseau sont également chiffrés, soit par conception, soit par l’utilisation de TLS. Les exemples incluent :

• Le trafic VPN (site à site et utilisateur distant)
• Le transport et la récupération d’e-mails sécurisés (SMTPS, IMAPS, POP3S)
• Les protocoles d’administration et de transfert de fichiers (SSH, SFTP)
• Les flux de médias vocaux et vidéo modernes (SRTP), ainsi que le trafic des applications de conférence

Pourquoi le trafic chiffré est devenu la norme

La plupart des protocoles réseau qui composent l’internet moderne (HTTP, DNS, etc.) ne sont pas sécurisés par défaut, manquant de chiffrement des données, d’authentification et de protection de l’intégrité. Aujourd’hui, l’utilisation de protocoles chiffrés est devenue la norme pour plusieurs raisons, notamment :

• La confidentialité des données
• La sécurité renforcée
• Conformité réglementaire :
• Les paramètres par défaut des navigateurs web et des plateformes

Pourquoi le trafic chiffré est important pour la sécurité et les opérations

Le chiffrement du trafic utilisant TLS présente plusieurs avantages, protégeant la confidentialité, l’intégrité et l’authenticité des données. C’est important car, sans cela, le trafic réseau pourrait être vulnérable à l’écoute clandestine et à la modification en route vers sa destination. En même temps, le chiffrement du trafic crée également des défis de sécurité, car, comme les attaquants, les outils de sécurité ne peuvent pas lire le contenu du trafic chiffré par défaut. C’est problématique car les logiciels malveillants, les informations personnelles identifiables (PII) et les exploits de vulnérabilité peuvent être cachés dans le trafic chiffré.

Le déchiffrement du trafic réseau nécessite soit un accès aux points de terminaison, soit de rompre la connexion TLS et d’effectuer un déchiffrement TLS coûteux sur le plan computationnel au sein des outils de sécurité réseau. En conséquence, les outils de sécurité utilisent souvent des métadonnées, des signaux de performance et de la télémétrie des points de terminaison pour identifier les menaces potentielles.

Que peuvent encore voir les équipes de sécurité lorsque le trafic est chiffré ?

Bien que TLS chiffre le contenu d’un paquet réseau, certaines informations doivent rester déchiffrées pour permettre au paquet d’atteindre sa destination. Certaines des métadonnées que les équipes de sécurité peuvent encore voir dans le trafic chiffré incluent :

• Adresses IP source et destination
• Ports source et destination.
• Caractéristiques de timing, de volume et de flux.
• Certains détails de la poignée de main et du certificat (évoluant avec ECH et les efforts de confidentialité)

Cependant, l’utilité de ces informations dépend également de la manière dont le trafic est chiffré. Si un VPN IPsec est utilisé au lieu de TLS pour le chiffrement, les adresses IP et les ports pointeront vers les points de terminaison du VPN, et non vers les destinations finales du trafic réseau.

Comment les organisations gèrent le trafic chiffré dans les environnements d’entreprise

Les organisations peuvent adopter deux approches différentes pour gérer les risques de sécurité liés au trafic chiffré :

1. Déchiffrer le trafic et inspecter le contenu
2. Examiner les métadonnées non chiffrées pour inférer le risque sans déchiffrement

Souvent, les organisations utilisent une combinaison des deux techniques. Par exemple, elles peuvent par défaut examiner les métadonnées et ne procéder au déchiffrement que pour le trafic identifié comme potentiellement risqué.

Approche 1 : Inspection basée sur le déchiffrement

La première approche potentielle est d’inspecter le trafic chiffré, également connu sous le nom d’inspection TLS ou SSL. Dans ce modèle, un appareil de sécurité déchiffre le trafic à un point d’inspection, l’évalue, puis le rechiffre pour la livraison. Cela permet à l’organisation d’appliquer des politiques, de détecter des menaces, de scanner à la recherche de logiciels malveillants et de mettre en œuvre des contrôles de contenu qui nécessitent une visibilité sur la charge utile.

Cependant, cette approche introduit également un risque car elle nécessite de rompre la connexion TLS chiffrée, souvent en créant deux connexions chiffrées distinctes, l’une du client vers l’appareil de sécurité et l’autre de l’appareil vers le serveur. La décryption introduit des risques pour la vie privée, peut nuire aux performances et ajoute une complexité qui pourrait perturber les applications.

Comment fonctionne l’inspection basée sur la décryption ?

L’inspection basée sur la décryption fonctionne en rompant la session TLS chiffrée en deux sessions distinctes avec un point de décryption au milieu. Cela comprend les étapes suivantes :

1. Le client initie une session TLS.
2. Le point d’inspection intercepte et termine la session.
3. Le point d’inspection établit une session TLS distincte vers la destination.
4. Le contenu est décrypté et inspecté selon la politique.
5. Le trafic est ré-encrypté et transféré.

Quel rôle jouent les certificats et les magasins de confiance ?

Pour que le point d’inspection puisse créer une session avec le client, le client doit accepter que son certificat numérique soit un certificat valide pour le site cible. Cela est souvent mis en œuvre sous la forme d’un certificat numérique wildcard qui s’applique à tout site que le client pourrait visiter.

Cette approche nécessite une confiance significative dans l’entreprise et sa sécurité, car le client ne peut plus valider le véritable certificat numérique fourni par le site cible. En conséquence, ce certificat numérique est une source courante de mauvaises configurations, de risques de sécurité et d’interruptions.

Que se passe-t-il après la décryption ?

Après que le trafic soit décrypté au point d’inspection, l’appareil de sécurité a un accès complet à la charge utile du paquet. Cela lui permet de mettre en œuvre diverses fonctions de sécurité, telles que :

• Filtrage d’URL
• Analyse de logiciels malveillants
• Contrôles de type de fichier
• Data Loss Prevention
• Identification des indicateurs de menace dans le contenu

Approche 2 : Visibilité sans déchiffrement

Le déchiffrement n’est pas toujours une option (ou la meilleure option). Une alternative consiste à ce que les outils de sécurité infèrent le risque associé à une connexion en utilisant des métadonnées, le comportement du flux, la télémétrie des points de terminaison et d’autres signaux sans déchiffrer le contenu de la charge utile. Les signaux utilisés pour cette analyse incluent :

• Analytique basée sur le flux
• Anomalies comportementales
• Intelligence sur les IP et domaines connus comme malveillants
• Anomalies de certificat et de poignée de main (lorsqu’elles sont visibles)
• Empreinte TLS et caractéristiques du client hello (lorsqu’elles sont visibles)
• Métadonnées SNI et ALPN lorsqu’elles ne sont pas protégées par ECH
• Réputation des certificats et anomalies (modèles d’émetteur, fenêtres de validité, chaînes auto-signées suspectes)
• Classification de destination plus bases historiques pour les ratios de bytes, les modèles de pics et les durées de session

Cette approche présente certains avantages car elle élimine les frais généraux et les risques de confidentialité associés au déchiffrement du trafic. Cependant, elle peut manquer des menaces qui ne sont visibles que dans la charge utile du trafic réseau. Les organisations peuvent également utiliser l’analyse du trafic chiffré basée sur l’IA pour améliorer l’efficacité de cette technique.

Qu’est-ce qui se casse dans le monde réel lors de la gestion du trafic chiffré ?

Le déchiffrement du trafic chiffré pour analyse peut introduire des problèmes potentiels pour l’entreprise. Pour éviter les pannes d’application, les organisations devraient mettre en œuvre certaines politiques et contrôles techniques.

Établissement de certificats et validation stricte des certificats

Le déchiffrement du trafic d’entreprise nécessite généralement de remplacer le certificat numérique du serveur par un certificat d’inspection d’entreprise. Cela peut poser problème si une application met en œuvre l’établissement de certificats ou la validation stricte des certificats, où elle n’accepte qu’un certificat numérique particulier pour un site web cible.

Si tel est le cas, les applications peuvent échouer, rencontrer des boucles d’authentification ou ne pas se mettre à jour. Les solutions possibles incluent le contournement de l’inspection pour ces applications, l’utilisation de contrôles de sécurité des points de terminaison pour inspecter le trafic avant/après le chiffrement, ou la révision des conseils des fournisseurs pour des solutions.

TLS mutuel (mTLS) et authentification par certificat client

Le TLS mutuel (mTLS) authentifie le client ainsi que le serveur à l’aide de certificats numériques. Cela peut entraîner un échec de l’interception si le point d’inspection ne peut pas correctement passer, valider ou réoriginer l’authentification par certificat client. 

Les résultats possibles incluent des échecs d’API, des invites d’authentification répétées et des erreurs soudaines « non autorisées » après l’activation de l’inspection. Pour atténuer cela, les organisations peuvent contourner l’inspection pour des destinations mTLS spécifiques, utiliser des contrôles conscients des points de terminaison, ou configurer un support explicite pour le passage des certificats clients, lorsque cela est possible.

Protocoles non pris en charge, chiffrements et cas particuliers

Les outils d’inspection peuvent ne pas prendre en charge tous les protocoles ou modèles de négociation utilisés par une application et/ou un serveur. Si tel est le cas, le point d’inspection peut échouer à négocier une ou les deux connexions chiffrées qu’il maintient avec le client et le serveur.

Les symptômes de ce problème incluent des échecs de connexion, des délais d’attente intermittents et des chargements de pages partiels. Les atténuations potentielles incluent la mise à jour du point d’inspection pour inclure les protocoles manquants ou la redéfinition des politiques d’inspection pour exclure cette application.

HTTP/3, QUIC, comportements de TLS 1.3 et ECH

Les protocoles modernes, tels que HTTP/3, QUIC et ECH, modifient le fonctionnement de l’interception ou les métadonnées non chiffrées utilisées pour analyser le trafic chiffré. Par exemple, Encrypted Client Hello (ECH) chiffre davantage la poignée de main TLS, réduisant ainsi les données non chiffrées disponibles.

En conséquence, l’organisation peut avoir besoin d’outils mis à jour ou d’approches différentes pour les flux réseau utilisant ces protocoles. Certaines organisations bloquent temporairement ou dégradent QUIC/HTTP/3 (forçant HTTP/2 sur TLS) pour préserver l’inspection et l’application cohérente des politiques, puis réactivent lorsque les outils et les politiques mûrissent.

Limites de confidentialité et catégories réglementées

Dans certains cas, l’inspection ne doit pas être effectuée même si cela est techniquement possible. Par exemple, de nombreuses organisations éviteront de déchiffrer le trafic vers les portails de santé, les banques, les courriels personnels et les systèmes d’auto-service des employés pour maintenir la conformité avec les lois sur la protection des données. Pour éviter d’accéder à des données personnelles sensibles, les programmes de déchiffrement du trafic doivent être soumis à une gouvernance stricte, être audités et déchiffrer le moins de données sensibles et privées possible.

Comment la performance peut-elle se dégrader avec plusieurs sauts d’inspection ?

Le déchiffrement est coûteux en ressources informatiques et peut introduire de la latence dans les connexions réseau. Si plusieurs appareils de sécurité ou proxies déchiffrent et réencryptent indépendamment les données, cela peut augmenter la latence réseau et les échecs potentiels, entraînant des chargements de pages lents, des délais d’attente et des performances incohérentes.

Que signifie l’inspection « en un seul passage » ou « en un seul scan » ?

L’inspection en un seul passage ou en un seul scan effectue un seul tour de déchiffrement/réencryption du trafic pour l’inspection de sécurité. Plusieurs fonctions de sécurité peuvent accéder aux données déchiffrées, offrant le même niveau de sécurité tout en réduisant le nombre d’étapes cryptographiques redondantes et la latence réseau associée.

Meilleures pratiques pour gérer le trafic chiffré sans nuire à l’entreprise

L’inspection du trafic chiffré peut être nécessaire pour la sécurité, mais elle peut également nuire à l’entreprise si elle est mal mise en œuvre. Certaines meilleures pratiques incluent :

• Commencer par des objectifs clairs et des cas d’utilisation.
• Définir explicitement les catégories de déchiffrement et de contournement.
• Piloter avec des groupes non critiques et des ensembles d’applications connus.
• Surveiller la performance, les taux d’erreur et l’impact sur les utilisateurs.
• Établir un processus d’exception pour les applications épinglées et les cas de rupture à haut risque.
• Minimiser la journalisation et la conservation du contenu déchiffré. 
• Utiliser des principes de moindre collecte.

Comment les équipes doivent-elles décider quoi déchiffrer par rapport à quoi contourner ?

Le déchiffrement du trafic n’est pas toujours nécessaire, et les organisations doivent décider si le trafic nécessite un déchiffrement. Certains facteurs à considérer incluent :

• Criticité pour l’entreprise
• Sensibilité des données et risque pour la vie privée
• Exposition aux menaces et probabilité d’abus
• Comportements d’application connus comme le pinning
• Tolérance opérationnelle aux pannes

FAQ sur le trafic chiffré

Qu’est-ce que le trafic chiffré en termes simples ?

Le trafic chiffré utilise la cryptographie pour protéger le trafic réseau contre l’écoute clandestine et la modification malveillante. TLS est le protocole le plus courant pour le chiffrement du trafic et constitue la différence entre le trafic web HTTP et HTTPS. Bien que le chiffrement protège l’intégrité, la confidentialité et l’authenticité des données, il ne garantit pas que les données chiffrées sont bénignes.

Le trafic chiffré est-il identique à HTTPS ?

HTTPS est une forme courante de trafic chiffré, utilisant TLS pour protéger le trafic HTTP. Cependant, il existe également d’autres formes de trafic chiffré, y compris les VPN et d’autres protocoles réseau protégés par TLS.

Qu’est-ce que TLS, et pourquoi les gens continuent-ils à dire SSL ?

TLS est le successeur de SSL, qui est peu sûr. Les gens peuvent encore dire SSL ou SSL/TLS en se référant à TLS par habitude ou par reconnaissance de cet héritage.

Pourquoi le chiffrement peut-il créer des zones d’ombre en matière de sécurité ?

Le chiffrement peut créer des zones d’ombre en matière de sécurité, car les outils de sécurité ne peuvent pas lire les données chiffrées pour détecter les logiciels malveillants, le contenu de phishing, les fuites de données et d’autres menaces. En conséquence, les organisations peuvent devoir s’appuyer sur des métadonnées non chiffrées et des signaux comportementaux pour identifier des connexions suspectes ou mettre en œuvre le déchiffrement du trafic réseau.

Les équipes peuvent-elles analyser le trafic chiffré sans le déchiffrer ?

L’analyse du trafic réseau chiffré sans le déchiffrer inclut l’utilisation de métadonnées, de comportements de flux, de télémétrie des points de terminaison et d’intelligence sur les menaces pour inférer le risque sans lire le contenu. Par exemple, une organisation pourrait inférer que le trafic vers une adresse IP connue comme malveillante est malveillant sans lire son contenu. Cependant, certains contrôles nécessitent une visibilité sur le contenu, donc les méthodes non déchiffrantes ne sont pas un substitut complet.

Quand l’inspection basée sur le déchiffrement est-elle appropriée, et quels sont les plus grands risques ?

L’inspection basée sur le déchiffrement peut être appropriée pour des catégories à haut risque comme le trafic web inconnu, les téléchargements de fichiers ou l’accès à des systèmes sensibles, lorsque des politiques et une gouvernance sont en place. Cependant, le déchiffrement introduit des risques, tels que des préoccupations en matière de confidentialité et de conformité, une dégradation des performances et des ruptures d’application si le pinning de certificat ou des solutions similaires sont en place. Les organisations doivent être sélectives quant au trafic qu’elles déchiffrent, tester sur des applications critiques et maintenir un processus clair de contournement et d’exception.

Inspection du trafic chiffré avec Cato

Le Cloud SASE de Cato comprend un réseau mondial de PoP SASE construit autour du moteur cloud à passage unique de Cato (SPACE). Cato converge les fonctions de sécurité de Security Service Edge (SSE) — y compris FWaaS, CASB, SWG et DLP — en une seule solution, et SPACE permet à ces fonctions de sécurité d’accéder aux données déchiffrées lors d’un seul cycle de déchiffrement et de réchiffrement du trafic. Lorsque le déchiffrement du trafic est nécessaire, cela minimise les impacts potentiels sur les performances et la latence.

Cato offre également un accès à des données contextuelles riches sur les flux réseau. Cela permet aux organisations de gérer le risque de sécurité sans recourir au chiffrement, optimisant ainsi davantage les performances et la sécurité du réseau. Pour en savoir plus sur la façon dont Cato gère le trafic réseau chiffré, réservez une démo.