Interception SSL TLS Fonctionnement Enjeux Risques Pratiques.pdf


Aperçu du fichier PDF interception-ssl-tls-fonctionnement-enjeux-risques-pratiques.pdf - page 2/62

Page 1 23462



Aperçu texte


Préambule
La sécurisation des échanges numériques, un domaine difficile à appréhender. Autrefois réservés
aux forces militaires, les moyens permettant de chiffrer des données se sont répandus aux organisations
privées et étatiques. Suite à la démocratisation du SSL/TLS qui permet de sécuriser des échanges liés au
web, aux mails et d’autres moyens de communication, le mode d’utilisation d’Internet a radicalement
changé. Le lieu où la confiance ne pouvait régner, voir qualifié de « sans foi ni loi » 1 , est devenu depuis
lors le réseau des communications privées, des achats, de la gestion administrative, etc...
Après que les banques et les sites de e-commerces utilisaient le SSL/TLS pour sécuriser les échanges
avec leurs clients, ce sont les plates-formes de communications (webmails, réseaux sociaux, etc...) qui
ont adopté cette technologie. Avec cette dernière pratique, ce fut les principes du respect de la vie
privée et du secret des correspondances qui faisaient office de justification pour sécuriser les échanges.
Mais c’est avec les révélations d’Edward Snowden sur PRISM 2 que l’échange des données sécurisé entre
un client et un serveur — et de façon qu’aucun intermédiaire ne puisse comprendre la communication
— est devenu l’argument commercial majeur pour la plupart des acteurs du web. Par conséquent, nous
pouvons voir de plus en plus de ces communications sécurisées, souvent via SSL/TLS, apparaître.
Il est tout à fait normal de nos jours, que les utilisateurs d’un système informatique d’une entreprise
accèdent à ces sites sécurisés, que ça soit dans le cadre professionnel ou personnel. Or, ces échanges
sécurisés, entre un utilisateur et le site distant, ne laissent aucune visibilité à l’entreprise sur leurs
contenus. Loin de vouloir « espionner » les employés, ce sont les éventuelles fuites de données et
la récupération de fichiers malveillants qui posent problème. En effet, sans pouvoir comprendre les
échanges, les différents systèmes de sécurité permettant à une entreprise de se protéger deviennent
aveugle. La solution ? L’interception SSL/TLS. Mais est-elle bénéfique ? Sans risques ?
Ce présent article va présenter la technique dite interception SSL. Il sera découpé en trois parties.
La première expliquera le protocole SSL/TLS ainsi que la technique d’interception SSL/TLS. Puis dans
un second temps, cet article traitera des enjeux et risques que présente l’interception SSL/TLS. Nous
terminerons par les bonnes pratiques en matière de déploiement et d’utilisation de cette technique.

1. Expression dite par Alain Finkielkraut le 31/01/2014 sur la chaîne de BFMTV
2. Vaste programme de surveillance des communications mondiales mis en place par la NSA en 2007

Edouard Petitjean — M2 MIAGE SIID

1