Pourquoi les antivirus et les proxy SSL rendent le web moins sûr


Cela semble irréaliste et pourtant 5 et 10 % des connexions web sécurisées HTTPS sont interceptés par des logiciels de sécurité. Malheureusement, ces derniers sont mal configurés et apportent leurs propres vulnérabilités. Ce n’est pas le client qui configure mal son antivirus mais les fournisseurs eux-mêmes qui sont à l’origine du problème, explications

On le sait, un antivirus est là pour vous protéger pas pour le contraire mais alors pourquoi trouve-t’on une faille si importante ? Tout d’abord, il faut savoir qu’il y a d’un côté les fournisseurs d’antivirus et de l’autre les fournisseurs de proxy SSL.  Ces deux catégories de produits s’appuient sur une technique d’analyse réseau très discutable, l’interception HTTPS. Cette conséquence peut être extrêmement grave puisqu’elle ne vous protège absolument plus et vous démuni complètement face à une attaque.

Ainsi l’antivirus et le proxy SSL s’intercalent entre l’internaute et le site web, et sont capables de déchiffrer la connexion TLS en utilisant des certificats de sécurité bidons et autosignés, installés directement sur la machine de l’utilisateur. Sur le principe, ils ont raison d’intercepter des flux SSL afin de déchiffrer des connexions pour ainsi remplir leurs fonctions premières, faire la chasse aux malwares et autres menaces qui s’y cacheraient. Les proxys SSL sont utilisés par les entreprises pour les mêmes raisons.

 

Mais un groupe de chercheurs a mis au jour dernièrement le fait que la seconde connexion est très souvent beaucoup moins sécurisée que la première. Les fournisseurs font des tas d’erreurs de configuration et introduisent des vulnérabilités qui, sinon, n’existeraient pas. Certains de leurs produits, par exemple, utilisent des algorithmes de chiffrement dépassés ou ne procèdent à aucune validation du certificat du serveur. Les chercheurs ont ainsi analyses 20 logiciels antivirus et 12 proxys SSL et sont arrivés à la conclusion qu’entre 5 et 10% ne jouissaient pas  d’une sécurisation totale.

Pour évaluer l’ampleur du désastre, les chercheurs ont ensuite mis au point une nouvelle méthode de détection d’interception côté serveur en analysant les paquets issus de l’internaute et regardé s’il y avait des incohérences entre l’entête du navigateur et les paramètres TLS. En effet, chaque navigateur dispose d’un certain nombre de configurations TLS habituelles. L’interception va modifier cette configuration tout en préservant l’entête. Du coup, si on connait les configurations des navigateurs, on peut alors détecter le détournement.

En conclusion, les chercheurs recommandent aux fournisseurs d’antivirus d’abandonner l’interception HTTPS et aux administrateurs réseau de bien tester les proxys SSL avant de les déployer.

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Propulsé par WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :