Il y à une bataille constante entre les entreprises et les pirates pour sécuriser les informations confidentielles. Les violations de données et les piratages sont des problèmes pour les entreprises, quelle que soit leur taille, entraînant d’énormes complications en exposant des informations sensibles. Chaque fois que les experts en cybersécurité proposent une solution préventive, les attaquants trouvent une autre voie. L’une de ces nouvelles techniques moins connues est le SSL Stripping . Le problème est que les attaques SSL Stripping sont faciles à lancer et extrêmement dangereuses.
Qu’est-ce que le SSL Stripping ?
SSL Stripping est une forme d’ attaque MitM (Main-in-the-Middle) , qui tire parti du protocole de cryptage et de la façon dont il démarre les connexions. Cette attaque contourne la sécurité fournie par les connexions HTTPS sécurisées entre les utilisateurs et les navigateurs Web et expose le trafic et les informations sensibles échangées en texte brut aux indiscrets.
Tout en exposant des informations sensibles, cette attaque permet également aux pirates de manipuler le contenu transféré. Comme elle dégrade les connexions de cryptage SSL/TLS, elle est également connue sous le nom d’attaque de déclassement SSL.
Comment fonctionne l’attaque SSL Stripping ?
Lorsqu’une connexion sécurisée est nécessaire, les utilisateurs et les navigateurs utilisent un certificat de cryptage SSL , établissant un lien crypté entre deux parties.
Les actions suivantes s’effectuent lors de l’établissement d’une connexion sécurisée :
-
L’utilisateur demande au serveur une requête HTTP non sécurisée
-
Le serveur répond via HTTP et redirige l’utilisateur vers HTTPS
-
La session sécurisée commence par une requête HTTPS
Le processus de cryptage SSL garantit à la fois l’intégrité et la confidentialité. Les attaquants ne peuvent pas s’introduire dans une connexion HTTPS sécurisée entre l’utilisateur et le serveur.
Où les attaquants interceptent la connexion
Étant donné que la requête initiale et la réponse de redirection HTTP sont en texte brut, les attaquants interceptent les requêtes des utilisateurs. L’attaquant agit comme un pont entre les deux parties en établissant une connexion légitime au serveur via le protocole HTTPS et une connexion HTTP avec l’utilisateur.
L’attaquant peut être capable de faire une attaque MitM. Lorsque le serveur envoie une réponse, l’attaquant l’intercepte et l’envoie à l’utilisateur dans un format non chiffré, se faisant passer pour le serveur.
Il ne s’agit pas d’une communication de type 1:1. Toutes les données transférées de l’utilisateur passeront par le serveur des attaquants plutôt que d’aller directement au serveur légitime. De même, la réponse du serveur sera envoyée via le serveur attaquant au milieu. Comme il n’y a pas de communication cryptée entre l’utilisateur et le serveur, tous les messages transférés via cette connexion sont exposés à tout le monde, y compris l’attaquant.
La plupart des victimes ne sauront pas que l’URL reçue est une connexion HTTP non sécurisée, et toutes les informations sensibles transmises seront transférées en texte brut.
Raisons du succès de l’attaque SSL Stripping
-
Le moyen le plus simple d’intercepter la communication consiste à utiliser des points d’accès publics. Les attaquants configurent généralement des faux points d’accès avec des noms tels que ceux légitimes et attaquent les utilisateurs qui accèdent au point d’accès malveillant.
-
Une autre façon d’effectuer des attaques de suppression SSL est que les utilisateurs n’entrent généralement pas l’URL complet dans la barre d’adresse, y compris https://. Taper uniquement le nom de domaine ouvre la possibilité aux attaquants de présenter à la victime des liens HTTP.
-
De nombreux sites Web utilisent la connexion HTTPS uniquement pour la connexion et pour d’autres pages importantes tout en laissant les autres pages de destination dans une connexion HTTP non sécurisée pour améliorer les performances.
-
Les utilisateurs et les serveurs n’ont aucun moyen de détecter une bande SSL. Les deux parties ne doutent pas de l’intégrité des données en supposant qu’elles communiquent avec un partenaire légitime réel.
-
L’attaque SSL Stripping ne peut être reconnu que dans quelques cas exceptionnels via des détails de conception ou techniques. Il n’y a que quelques indications de l’absence d’une connexion sécurisée.
Comment empêcher les attaques ?
-
Le certificat SSL est utilisé non seulement pour créer des sites sécurisés mais aussi pour maximiser sa sécurité, vous devez crypter toutes les pages de vos sites Web, y compris tous les sous-domaines.
-
Une autre méthode de prévention du SSL Stripping consiste à sécuriser le réseau local contre tout accès non autorisé. La mise en œuvre d’un pare-feu d’application Web (WAF) robuste empêchera les acteurs malveillants d’accéder au réseau local et de s’étendre latéralement pour mettre en place des attaques MitM.
-
Les liens malveillants répertoriés dans les forums et envoyés via des spams sont l’arme par défaut des attaquants depuis de nombreuses années. Évitez de cliquer sur les e-mails de quelqu’un que vous ne reconnaissez pas.
-
Les points d’accès Wi-Fi publics sont parfaits pour les attaques SSL Stripping. Évitez les points Wi-Fi non sécurisés.
-
Un autre moyen efficace de se protéger contre une attaque de suppression SSL consiste à saisir manuellement l’URL complète complet dans la barre d’adresse.
-
Une ligne de défense importante consiste à mettre en œuvre HSTS (HTTP Strict Transport Security) – une politique stricte empêchant les navigateurs Web d’interagir avec une connexion HTTPS non sécurisée.
-
En plus d’appliquer le HSTS et d’activer la connexion sécurisée SSL, les entreprises doivent louer un système de gestion de certificats comme Entrust CMS proposé par Indusface pour surveiller et gérer le cycle de vie du certificat, l’infrastructure à clé publique et la validité du certificat afin d’empêcher les mauvais acteurs d’utiliser le certificat à mauvais escient.
L’attaque SSL Stripping profite du fait que les utilisateurs ne demandent pas explicitement des pages sécurisées et s’appuient sur les serveurs Web pour les rediriger vers la version sécurisée du site Web demandé. La plupart des utilisateurs ne sont pas au courant de cette attaque, mais en s’armant d’une solide connexion de cryptage SSL, les propriétaires de sites Web peuvent éviter ces attaques SSL Stripping et MiTM.