Tous les filtres web ne peuvent pas bloquer les sites web HTTPS.
Par exemple, certains peuvent bloquer http://facebook.com mais pas https://facebook.com. Cela permet aux utilisateurs de contourner facilement le filtre, ce qui se traduit par une perte de temps et des risques accrus pour les entreprises.
Des sites populaires – dont Facebook, YouTube et LinkedIn – ont récemment adopté la norme HTTPS. C’est une bonne nouvelle pour la sécurité, mais une mauvaise nouvelle pour les entreprises qui utilisent un filtrage web qui ne peut pas bloquer les sites https ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire.
Pourquoi utiliser un filtre web HTTPS ?
Chaque organisation doit pouvoir autoriser ou bloquer les sites HTTPS.
Voici quelques raisons.
#1. Augmenter la productivité
Dans le passé, HTTPS était utilisé pour les transactions en ligne, les opérations bancaires et autres sessions sensibles.
De nos jours, même les sites web qui ne traitent pas de données sensibles adoptent HTTPS. Les sites de réseautage social comme Facebook, Twitter, YouTube sont souvent bloqués par les entreprises pour certains employés, mais ces sites utilisent maintenant HTTPS par défaut.
Pour une petite entreprise, avoir un filtre web en place qui peut bloquer HTTPS est le seul moyen pratique d’éviter de perdre du temps sur ces sites.
#2. Bloquer les sites web dangereux
Il existe des millions de sites web à risque sur Internet qui ont des antécédents de transmission de logiciels malveillants ou de fraude en ligne.
Des techniques telles que l’usurpation d’identité, les téléchargements au volant, le piratage de session et d’autres tactiques peuvent infecter un PC d’utilisateur avec des logiciels malveillants. Ces techniques fonctionnent sur les sites HTTP et HTTPS.
Un filtre HTTPS aide à protéger les entreprises contre ces dangers.
#3. Bloquer le contenu offensant d’un site web
Les sites web contenant du contenu inapproprié sont courants sur le web. Ces sites peuvent également utiliser HTTPS.
La seule façon pour une organisation de se protéger est d’utiliser un filtre web qui peut gérer à la fois les sites HTTP et HTTPS.
#4. Conformité
De nombreuses industries sont tenues d’améliorer la sécurité de leurs réseaux.
Certaines normes, comme la Children’s Internet Protection Act (CIPA), exigent que les organisations filtrent le contenu web. Toute industrie qui a besoin d’un filtrage HTTP est presque certaine d’avoir aussi besoin d’un filtrage HTTPS, pour les raisons décrites ci-dessus.
TLS est-il en fin de vie ?
TLS est un élément essentiel de l’infrastructure informatique. Par exemple, HTTP est sécurisé avec TLS, et, voilà, nous avons HTTPS.
Ainsi, les sites web utilisent TLS pour sécuriser les communications entre leurs serveurs et navigateurs web. TLS est également largement utilisé pour sécuriser les protocoles suivants :
Simple Mail Transfer Protocol (SMTP) peut utiliser TLS pour accéder aux certificats afin de vérifier l’identité des terminaux. Les fournisseurs ont créé des VPN basés sur TLS, tels que OpenVPN et OpenConnect. De tels VPNs ont des avantages pour le pare-feu et la traversée NAT par rapport aux VPNs IPsec traditionnels.
TLS est une méthode standard pour protéger la signalisation de l’application SIP (Session Initiation Protocol). TLS/SSL n’est pas la valeur par défaut sur de nombreux sites web ou parties de sites web.
Une étude réalisée en 2014 sur un million de sites web a montré qu’environ 450 000 seulement prenaient en charge TLS, par opposition à l’ancien SSL https://jve.linuxwall.info/blog/index.php?post/TLS_Survey .
En fait, les sites web de TLS/SSL sont le plus souvent complètement différents de leurs homologues non sécurisés ; il ne s’agit pas simplement de remplacer http:// par https://. Par exemple, la version sécurisée par TLS de http://en.wikipedia.org/wiki/ est https://secure.wikimedia.org/wikipedia/en/wiki.
C’est pourquoi l’Electronic Frontier Foundation propose l’extension HTTPS Everywhere pour les navigateurs. Le module complémentaire active les fonctions de sécurité TLS si elles sont présentes sur les sites web, mais il ne peut pas les créer si elles n’existent pas déjà.
Vulnérabilités de TLS
Le Trustwortworthy Internet Movement, qui analyse les vulnérabilités SSL sur les 20 000 sites web les plus populaires au monde, a signalé en janvier 2016 que 64 % des sites sondés présentaient une sécurité insuffisante.
Nous savons que SSL n’est pas sûr.
À partir de 2014, la version 3.0 de SSL a été considérée comme non sécurisée car elle est vulnérable à l’attaque POODLE qui affecte tous les chiffrement par blocs SSL. L’implémentation de SSL 3.0 de RC4, le seul chiffrement non bloqué pris en charge, est également possiblement cassée. Cela nous laisse avec TLS.
Ce protocole a été révisé à plusieurs reprises pour tenir compte des vulnérabilités en matière de sécurité. Comme pour tout logiciel non corrigé, l’utilisation d’anciennes versions peut conduire à exploiter des vulnérabilités qui ont déjà été corrigées.
TLS peut être transmis en utilisant le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). TCP possède des fonctionnalités plus sécurisées que UDP. Dans les deux cas, les transmissions TLS peuvent être compromises par des vulnérabilités TCP ou UDP. Idem pour la cryptographie à clé publique, les chiffres et l’échange de clés.
TLS a été intégré dans de nombreux progiciels utilisant des bibliothèques open source. Un article présenté à la conférence 2012 de l’ACM sur la sécurité informatique et des communications a montré que peu d’applications utilisaient correctement certaines de ces bibliothèques SSL, ce qui entraîne des vulnérabilités. Le bug Heartbleed affecte la bibliothèque populaire OpenSSL, permettant aux attaquants de voler les clés privées des serveurs.
Le point le plus faible d’une connexion SSL/TLS est l’échange de clés. Si l’algorithme d’échange de clés est déjà connu de l’attaquant et que la clé publique du serveur a été compromise, en théorie, ce système est ouvert aux attaques man in the middle.
L’attaquant serait alors en mesure de surveiller le client subrepticement. HTTPS réserve un seul port, le port TCP 443, pour l’échange de clés. Ainsi, les attaques par déni de service distribué (DDoS) doivent inonder un seul port afin de paralyser le réseau d’une organisation.
Le Trustworthy Internet Movement a signalé que 91 % des sites web étaient vulnérables à l’attaque BEAST, dans laquelle un attaquant peut théoriquement utiliser les caractéristiques des données cryptées pour deviner leur contenu.
Certains sites web prennent en charge les SSL/TLS plus anciens pour une compatibilité ascendante. En juin 2016, le Trustworthy Internet Movement estime que 26 % des sites web offrent une telle « solution de rechange au protocole ». Mais cela peut être une opportunité pour des attaques de downgrade de protocole telles que DROWN, qui affecte OpenSSL. Tous les détails de DROWN ont été annoncés en mars 2016, ainsi qu’un patch pour l’exploit. À l’époque, plus de 81 000 des 1 million de sites les plus populaires font partie des sites protégés par le TLS qui sont vulnérables à l’attaque DROWN.
Alors, TLS/SSL est-il sécurisé ?
Si votre organisation utilise exclusivement la mise en œuvre TLS la plus récente et tire parti de toutes les fonctions de sécurité TLS, vous avez une longueur d’avance. Afin de protéger votre entreprise contre les exploits malveillants dissimulés sous le secret du SSL, vous avez besoin d’un filtre web ou d’une passerelle web capable d’intercepter et de décrypter le trafic SSL. L’idée derrière cela est relativement simple en théorie.
Le filtre web crée une connexion sécurisée entre le navigateur client et le filtre, puis décrypte le trafic SSL sortant en texte clair sur lequel le trafic est analysé. Une fois examiné, le trafic est à nouveau chiffré et une autre connexion sécurisée est créée entre le filtre web et le serveur web.
Cela signifie que le filtre web agit effectivement comme un serveur proxy SSL et peut donc à la fois intercepter la connexion SSL et inspecter le contenu.
Google Chrome pour étiqueter tous les sites HTTP comme non sécurisés
Google a annoncé que son navigateur web Chrome prendra bientôt une position plus agressive sur le chiffrement web, marquant tout site comme non sécurisé s’il n’utilise pas HTTPS.
Le déploiement commencera en janvier par l’application de la règle à tout site qui demande un mot de passe ou des renseignements sur une carte de crédit. A terme, Chrome étiquettera tous les sites HTTP comme non sécurisés.
Le Filtrage web HTTPS comme norme
Les solutions de filtrage webTitan analysent le trafic crypté d’une manière gérable et abordable. La possibilité d’analyser le trafic https, par exemple le courrier web et la plupart des réseaux sociaux, est une épine dans le pied de nombreuses entreprises qui utilisent un filtre web qui ne peut pas bloquer les https ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire. Le coût et les inconvénients peuvent être considérables.
WebTitan peut vous fournir une couche supplémentaire de contrôle granulaire pour le filtrage HTTP & HTTPS avec intégration AD. L’inspection SSL permet à webTitan de traiter le trafic HTTPS crypté. En termes simples, HTTPS est un protocole SSL superposé sur HTTP. Il y parvient en effectuant un décryptage et un re-cryptage du trafic HTTPS, en inspectant le contenu du trafic HTTPS non crypté.
Avec WebTitan, le filtrage HTTPS est inclus en standard. En fait, le service standard comprend toutes les fonctions de sécurité que nous offrons et un support technique gratuit. Donnez à votre organisation une sécurité sans compromis avec WebTitan.