Cybersécurité : 90 % des malwares transitent par des connexions chiffrées HTTPS

Alexia Coué
Systèmes d'exploitation, réseau et logiciels
05 octobre 2021 à 11h45
19
Cybersécurité

HTTP est un protocole de transmission permettant d'accéder à des pages web. HTTPS, sa version sécurisée, vérifie quant à lui l'identité du site via un certificat d'authentification. Attention, ce n'est pas un protocole infaillible : aujourd'hui, 9 malwares sur 10 transiteraient par ce canal chiffré.

C'est un fait : depuis quelques années les attaques informatiques sont monnaies courantes dans nos vies. Nous faisons tout pour ne pas être touchés par les menaces de phishing et autres virus qui circulent. Un rapport alarmant rédigé par la société de cybersécurité WatchGuard nous en dit plus sur ce qui se passe en 2021.

Des virus informatiques sournois

D'après le rapport de WatchGuard pour ce début d'année 2021, 91,5 % des virus arriveraient via les connexions HTTPS. La société alerte surtout les entreprises qui ne scannent pas le trafic HTTPS, le pensant sécurisé. Celles-ci passeraient ainsi à côté de 9 malwares sur 10.

Le rapport montre une légère baisse des attaques par malware depuis quelques mois mais fait remarquer que celles-ci ont été plus concentrées sur les utilisateurs en télétravail. Deux tiers des ces virus exploitent des vulnérabilités zéro-day, soit des failles n'ayant pas encore fait l'objet de correctifs.

Les ransomwares en vogue

De nombreux acteurs de la cybersécurité nous alertent sur l'émergence, notamment depuis l'année dernière, des ransomwares , des virus qui se répandent dans tout un réseau et prennent en otage des données contre une rançon. Même si cette pratique est plus courante au sein des infrastructures professionnelles, personne n'est à l'abri.

WatchGuard nous met surtout en garde ici contre l'explosion des ransomwares en 2021. Le nombre de détections sur la première moitié de l'année serait égal à celui de l'année 2020 dans son entièreté. Si la tendance continue, l'augmentation des ransomwares en 2021 atteindra les 150 %.

Source : TechRadar

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
19
9
Fodger
Visiblement on mélange plusieurs choses, le protocole n’a rien à voir avec le fait qu’on récupère un virus ou pas.<br /> C’est 99 fois sur 100 une action de l’utilisateur qui provoque le téléchargement, aussi peu importe qu’on soit en https ou non car c’est une demande volontaire (enfin vue comme telle :p).
toast
HTTPS n’est qu’un moyen d’authentification et d’échange. Ensuite on peut s’échanger ce qu’on veut, que ce soit un site web ou un malware.<br /> Et comme le web est majoritairement passé sur HTTPS, ben c’est normal que les malwares ne transitent plus sur HTTP…<br /> Causalité, Correlation…
MisterDams
Oui et non.<br /> L’article explique que des outils de sécurité vont surveiller le trafic HTTP pour détecter les malwares qui seraient transmis dans les échanges, mais ne vont pas surveiller le trafic HTTPS. De fait, ils ratent donc ces mêmes échanges dès lors qu’ils sont fait en version «&nbsp;sécurisée&nbsp;» et passent donc à côté des malwares.<br /> C’est donc un problème de périmètre couvert qui est insuffisant, car si effectivement HTTPS améliore la confidentialité des interactions entre le serveur et le client, rien ne garanti dans cet échange que le serveur n’est pas malintentionné.<br /> Surtout depuis que les certificats SSL signés sont gratuits et faciles à déployer en automatique.<br /> Bref, rien de nouveau sous le soleil, c’est pas parce que j’ai veillé à fermer ma porte à clé avant et après son passage que l’individu que j’ai laissé rentrer chez moi n’a rien pu me voler.
rashomoon
" les entreprises qui ne scannent pas le trafic HTTPS" : comment scanner le contenu du trafic https si on ne peut pas déchiffrer son contenu ? A part scanner à l’arrivée (ex: l’antivirus qui scanne les pièces attachées dans les boîtes mails quand on l’ouvre sans faire attention)
Baxter_X
Merci ! J’allais écrire à peu de choses près la même chose
Baxter_X
Si on le peut par l’inspection SSL. C’est assez couramment utilisé. Aéroport, hôtel, entreprise…
avandoorine
En Enterprise le poste n’étant pas directement relié a internet mais via un proxy il n’y a aucun problème pour un service de surveillance à récupérer les clefs échangées entre le navigateur et le serveur et donc de voir ce qui passe.
Fodger
Combien même le trafic est analysé, le risque zéro n’existe pas et on peut tout à fait récupérer tout de même un ransom &amp; co. Au final tu dis la même chose…<br /> Et dire «&nbsp;Attention, ce n’est pas un protocole infaillible : aujourd’hui, 9 malwares sur 10 transiteraient par ce canal chiffré.&nbsp;» n’a aucun intérêt car oui aucun protocole n’est infaillible, et le problème réel principal c’est le comportement des utilisateurs.
MisterDams
La grande majorité des attaques exploitent effectivement un problème d’interface chaise/clavier.<br /> Mais les entreprises et éditeurs de solutions de protection peuvent agir en amont pour limiter les risques que le malware en arrive jusqu’à avoir une interaction avec l’utilisateur.<br /> Et effectivement la surveillance du trafic HTTPS est parfois encore négligée alors que la surveillance HTTP ne suffit plus, dans 90% des cas.<br /> Pour moi l’article dit bien ça et rien d’autre.
Baxter_X
Non, ce n’est pas aussi simple heureusement. Un proxy peut récupérer ce qu’il veut, le trafic étant chiffré, il ne pourra rien lire.<br /> L’inspection SSL est bien plus aboutie que cela. Je t’invite à lire les articles la dessus pour mieux comprendre.<br /> Le proxy ne fait rien de tout cela. Sauf cas où justement il aurait été configuré pour.
ben100g
très couramment … surtout dans le domaine financier (en fait partout où il y a des gros actifs à protéger)
ben100g
tu dis tout et son contraire … «&nbsp;Le proxy ne fait rien de tout cela. Sauf cas où justement il aurait été configuré pour.&nbsp;»
Baxter_X
Non, pas nécessairement. Je le sais j’y travaille justement.
Baxter_X
Je ne dis pas tout et son contraire. Simplement, le but d’un proxy n’est pas de faire cela<br /> Mais il est possible d’y implémenter ce genre de fonctionnalités
ben100g
Tu sais donc que sans inspection SSL le proxy ne peut pas faire grand chose ayant trait au contenu et n’est plus très utile … c’est quoi le but d’un proxy (forward - client) selon toi ?
Baxter_X
Bah oui… C’est ce que je dis, un proxy sans inspection SSL ne permet pas de déchiffrer le traffic.<br /> Le proxy, de base, sert a router le trafic http, entre autre.
ben100g
Définition Wiki d’un proxy :<br /> Un proxy est un composant logiciel informatique qui joue le rôle d’intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges.<br /> Si tu veux un router (niveau 3) c’est autre chose … le proxy est au niveau applicatif.
Baxter_X
Ou veux tu en venir exactement ?<br /> Déchiffrer le traffic HTTPs est possible via l’inspection SSL. Quelque soit le moyen utilisé ou le matériel utilisé, cela reste possible. Point
orionb1
chez nous, ils font du man in the middle et on peut le voir notamment car le certificat qu’on reçoit n’est pas le certificat d’origine, tout est surveillé excepté webmails, trafic bancaire, tout ce qui peut être illégal d’être surveillé
Voir tous les messages sur le forum

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Haut de page