Le chiffrement du trafic Web (AKA SSL, TLS, HTTPS) est depuis longtemps la norme pour la plupart des services Web, en particulier pour les applications SaaS d'entreprise telles que Salesforce, Microsoft Outlook 365 et Skype. Pour aider à protéger ce trafic contre les écoutes clandestines et l’exposition potentielle de données sensibles, le chiffrement de bout en bout est une mesure de sécurité critique et efficace pour réduire les risques.
Cependant, les organisations sont confrontées à un éventail beaucoup plus large de menaces, notamment les ransomwares et autres formes de logiciels malveillants véhiculés sur le Web, les violations de données, etc. Pour résoudre ce problème, des outils de sécurité tels que le filtrage d'URL, l'antivirus, le bac à sable, la prévention des pertes de données (DLP), les courtiers de sécurité d'accès au cloud (CASB), pour n'en nommer que quelques-uns, sont déployés et chargés d'inspecter tout le trafic Web.
Alors que la plupart des professionnels de la sécurité estiment qu’une bonne combinaison d’outils de sécurité assurera la sécurité de leurs utilisateurs et de leurs organisations, une pratique largement répandue appelée « épinglage de certificat » empêche ces outils d’assurer la protection qui leur a été confiée.
Qu’est-ce que l’épinglage de certificat et en quoi cela met-il votre organisation en danger ?
Les outils de sécurité réseau mettent en œuvre leurs protections en inspectant le trafic Web à mesure qu'il les traverse. Pour le trafic chiffré, cela les oblige à le déchiffrer afin d’obtenir la visibilité dont ils ont besoin. La plupart des outils de sécurité résolvent ce problème en effectuant ce que l'on appelle une inspection SSL. Sans devenir trop technique, nous dirons simplement que cela se fait généralement à l'aide de certificats auto-signés et d'une technique connue sous le nom d'homme du milieu. Pour la plupart, cela fonctionne plutôt bien, jusqu'à ce qu'ils tombent sur un service utilisant l'épinglage de certificat. Encore une fois, sans aller trop loin, l'épinglage de certificat est un mécanisme utilisé par les services Web pour éviter l'inspection de l'homme du milieu, qui provoque de telles tentatives de rupture de connexion et empêche les utilisateurs de faire leur travail, provoquant de la frustration et ayant un impact sur l'activité.
La seule façon d’activer de tels services est de contourner l’inspection SSL, ce qui rend vos produits de sécurité inutiles et expose vos utilisateurs à des menaces.
Dans quelle mesure l’utilisation de l’épinglage de certificat est-elle courante ? Il est utilisé par tous les services mentionnés ci-dessus : Salesforce, Microsoft 365 Outlook et Skype, ainsi que par de nombreuses autres applications professionnelles couramment utilisées : Dropbox, Google Drive, Webex Teams, Amazon Drive, DocuSign et bien d'autres.
Les fournisseurs de sécurité sont très conscients de cette lacune et ont conçu des solutions qui ne reposent pas sur l'inspection SSL. Les solutions sont basées sur des API, et sans entrer trop dans les détails, nous dirons simplement qu'elles présentent deux inconvénients très critiques. La première est qu’ils n’offrent pas de protection en temps réel. Ils s'appuient sur une alerte envoyée par le fournisseur SaaS qui doit être visualisée, analysée et ensuite seulement prise en compte. Cela peut prendre de quelques minutes à quelques heures, voire plusieurs jours, après quoi il est généralement beaucoup trop tard pour arrêter une violation.
Deuxièmement, cette solution ne peut être appliquée qu'aux applications SaaS sanctionnées dont l'entreprise a connaissance et pour lesquelles elle a déployé la solution. Avec plus de 85 % des applications SaaS non sanctionnées, une partie importante de la surface d'attaque SaaS est complètement découverte, même pour les alertes après coup.
Les solutions basées sur des API sont clairement loin d’être idéales pour assurer la sécurité dont votre organisation a besoin.
Comment pouvons-nous surmonter l’épinglage des certificats ?
Le problème réside dans l’approche de l’homme du milieu utilisée par les outils traditionnels. Cela est vrai pour les solutions fournies sous forme d'appliances déployées en périphérie, physiques ou virtuelles, ainsi que pour les services fournis dans le cloud (par exemple cloud SWG, CASB, SSE/SASE).
En déplaçant l'emplacement de déploiement dans le navigateur lui-même, nous sommes en mesure de surmonter cette limitation. Étant donné que le navigateur a une visibilité sur le trafic sortant avant qu'il ne soit chiffré et sur le trafic entrant après son déchiffrement, l'inspection du trafic à ce point d'intersection permet d'obtenir les informations nécessaires pour détecter et bloquer efficacement les menaces. Cela permet une couverture de sécurité complète avec une protection en temps réel de tout le trafic Web, y compris pour les services utilisant l'épinglage de certificat.
Placer la sécurité Web dans le navigateur présente de nombreux autres avantages, notamment des performances et une expérience utilisateur améliorées, car le trafic peut être envoyé directement vers sa destination, ainsi qu'une visibilité sur les composants du navigateur tels que les extensions à risque, et une visibilité sur les actions non autorisées des utilisateurs dans le navigateur, telles que copier-coller des données sensibles et les saisir dans les outils Gen AI. Il offre également des avantages en termes de coût total de possession en réduisant le nombre de solutions nécessaires et en éliminant le besoin de solutions supplémentaires telles que la sécurité basée sur les API.
LayerX Enterprise Browser Extension s'intègre nativement à n'importe quel navigateur, le transformant en l'espace de travail le plus sécurisé et le plus gérable. Les entreprises utilisent LayerX pour sécuriser leurs appareils, identités, données et applications SaaS contre les menaces véhiculées par le Web et les risques de navigation, tels que les fuites de données sur le Web, les applications SaaS et les outils GenAI, les extensions de navigateur malveillantes, le phishing, les piratages de comptes, etc.
Demander une démo de LayerX ici
