Selon une enquête du spécialiste du marché des outils de Business assurance, « l’utilisation croissante du chiffrement dans le cadre de stratégies de confidentialité crée en réalité des conditions parfaites pour les cybercriminels pour dissimuler des logiciels malveillants au sein d’échanges chiffrés ».
Corollaire, cette situation diminuerait par la même occasion le niveau de sophistication nécessaire à ces logiciels pour passer inaperçus. Inquiétant quand on sait que l’exploitation de cette technologie de protection sur les sites Web pour les entreprises et les consommateurs augmente sans cesse. On estime à 80 % les plates-formes Web exploitant un chiffrement SSL dans l’ensemble ou partie de leur site Web (Source : classement Alexa)
Montée en puissance du chiffrement
Durant une période de sept jours, Blue Coat Labs reçoit plus de 100 000 demandes de ses clients pour des informations sur la sécurité de sites utilisant le protocole de chiffrement HTTPS pour la commande et le contrôle des logiciels malveillants. Selon son dernier rapport de sécurité intitulé « 2014 Security Report – The Visibility Void », le trafic chiffré se généralise chez les cybercriminels car « les attaques de logiciels malveillants, qui utilisent le chiffrement comme une couverture, n’ont pas besoin d’être complexes, les opérateurs de logiciels malveillants considérant que le chiffrement empêche l’entreprise de détecter l’attaque. D’autre part, des pertes de données importantes peuvent se produire à la suite d’actes malicieux par des entités hostiles de l’extérieur, ou des entités internes mécontentes, qui peuvent facilement transmettre des informations sensibles. Selon Blue Coat, en combinant des sites éphémères (“One-Day Wonders”), avec le chiffrement, et en faisant entrer des logiciels malveillants ou sortir des données volées via SSL, les organisations peuvent être complètement aveugles face à l’attaque et incapables de l’empêcher, de la détecter ou d’y répondre. » Corollaire, l’utilisation croissante du chiffrement sous-entendrait que bon nombre d’entreprises sont dans l’incapacité de surveiller les informations internes légitimes qui entrent et sortent de leurs réseaux, ce qui génèrerait un angle mort qui s’élargit pour les entreprises. Pour Blue Coat, «sur une période de 12 mois depuis septembre 2013, en moyenne, entre 11 % et 14 % des demandes d’information de sécurité reçues par [ses] chercheurs chaque semaine posaient des questions sur des sites Web chiffrés. »
Le risque de voir révélés numéros de Sécurité sociale et de cartes bancaires
Parmi les exemples de menace malveillante non sophistiquée dissimulée au sein du trafic chiffré, figure le cheval de Troie Dyre, qui vole les mots de passe. Actuellement, il exploite le comportement humain pour cibler certaines des plus grandes entreprises en vue de compromettre des comptes susceptibles d’exposer des numéros de sécurité sociale, des coordonnées bancaires, des informations de santé protégées, de propriété intellectuelle et bien plus encore.
Selon le Dr Hugh Thompson, Directeur de la stratégie de sécurité de Blue Coat, « le conflit intense entre respect de la vie privée et les besoins en sécurité de l’entreprise laisse la porte ouverte aux attaques de nouveaux logiciels malveillants utilisant le chiffrement SSL sur des réseaux d’entreprise, et ces attaques exposent les données de tout le monde. Pour pouvoir sécuriser les données des clients et répondre aux exigences réglementaires et aux politiques de sécurité, les entreprises ont besoin de visibilité pour discerner les menaces qui se cachent dans le trafic chiffré, et d’un contrôle granulaire pour assurer également le respect de la vie privée des employés ».
Comment dans ces conditions protéger la vie privée et la confidentialité ? Pour Blue Coat, « il faut accommoder les exigences de sécurité des entreprises avec celles des stratégies de confidentialité et de conformité applicables. Les politiques de confidentialité des entreprises et la réglementation applicable variant sur le plan géographique, par organisation et par secteur, les entreprises ont besoin de capacités de déchiffrement souples, personnalisables et ciblées afin de répondre à leurs besoins uniques. Pour aider ces entreprises à satisfaire leurs exigences en matière de politiques et de conformité tout en luttant contre les menaces dissimulées dans le trafic chiffré, Blue Coat a dressé une liste de facteurs clés que les départements informatiques devraient prendre en compte. La liste complète des conseils est disponible dans le rapport « The Visibility Void ».