Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul    
     
Les Analyses les plus Populaires



Escroqueries sur les réseaux sociaux



Enfants et Internet : conseils pour leur sécurité



Courrier indésirable en avril 2014



Evolution des menaces informatiques au 1er trimestre 2014



"Ce site risque d'endommager votre ordinateur" Comment reconnaître et déjouer les infections de sites Internet
 
 

  Page d'accueil / Analyses

Le danger des connexions sécurisées

16.03.2007   |   comment

Vitaly Denissov

Qu'est-ce qu'une connexion sécurisée ?

La connexion sécurisée vise à protéger les données transmises entre deux ordinateurs via le réseau Internet. L'établissement d'une telle connexion poursuit les objectifs suivants :

  • Dissimuler les données confidentielles pour les parties non-intéressées ;
  • S'assurer de l'identité du correspondant ;
  • Éviter la lecture ou la modification par un tiers des données transmises.

Illustration 1. Accès à une boîte aux lettres de MS Exchange Server via une connexion sécurisée

Il existe plusieurs méthodes d'envoi sécurisé des données. Elles reposent toutes sur le chiffrement des données et sur l'utilisation de clés spéciales afin de pouvoir lire ces données. Ces clés (appelés également des certificats) sont généralement conservées dans des bases de données spéciales, les référentiels de certificats, accessibles uniquement aux utilisateurs autorisés.

  1. Chiffrement des données. Cette méthode permet d'empêcher la lecture des données (par exemple, un message électronique) par un tiers et d'établir l'identité de l'expéditeur. Elle ne prévoit cependant pas la vérification de l'authenticité des ordinateurs qui interviennent dans la transmission des données. Afin de pouvoir envoyer et recevoir des messages chiffrés, l'auteur et le destinataire du message doivent tous deux utilisés un programme particulier (PGP, GPG, S/MIME). C'est dans le domaine du courrier électronique que l'on rencontre le plus souvent la méthode du chiffrement des données.

Illustration 2. Chiffrement de données à l'aide du programme PGP
  1. Chiffrement du canal de transmission. Cette méthode implique la dissimulation de la connexion de réseau et la confirmation de l'identité des ordinateurs impliqués dans cette connexion. À la différence de ce qui se produit dans la première méthode, les données ne sont pas vérifiées. Il est ainsi impossible de confirmer l'authenticité d'un message reçu via le canal chiffré. Ces protocoles de chiffrement sont les protocoles SSL et TLS.

Illustration 3. Configuration d'une connexion sécurisée dans Outlook Express

La majorité des applications Internet sont désormais compatibles avec le chiffrement du canal de transmission : serveurs et clients de messagerie, serveurs Web et navigateurs ainsi qu'une multitude d'applications Internet particulières telles que les systèmes d'opérations bancaires en ligne. Les développeurs d'application ont très vite compris la simplicité de la mise en œuvre : la connexion de réseau sécurisée accepte les protocoles standard de transfert des données. Autrement dit, les modifications à introduire dans les applications de réseau existantes sont très minimes. Les protocoles les plus répandus suivants fonctionnent de cette manière :

  • HTTPS (protocole HTTP, le protocole principal d'Internet chiffré à l'aide de SSL/TLS)
  • POP3 (protocole POP3 standard, le protocole principal pour la réception du courrier, chiffré à l'aide de SSL/TLS)
  • SMTPS (protocole SMTP standard, le protocole principal pour l'envoi du courrier, chiffré à l'aide de SSL/TLS)
  • IMAPS (protocole IMAP4 standard, le protocole principal pour la réception du courrier, chiffré à l'aide de SSL/TLS)
  • NNTPS (protocole NNTP standard, le protocole principal pour la lecture d'informations, chiffré à l'aide de SSL/TLS)

Certains services en réseau ne sont accessibles que via une connexion sécurisée. C'est le cas notamment du célèbre service de messagerie GMail.

Cet article est consacré au chiffrement du canal de transmission, à savoir les « connexions sécurisées ».

Types de protection contre les menaces de réseau

Les connexions de réseau transmettent non seulement les informations utiles mais également les programmes malveillants qui représentent un certain danger pour les ordinateurs. L'ensemble des menaces informatiques modernes appartient à la catégorie des données malveillantes : attaques de pirates informatiques, chevaux de Troie, vers de messagerie et programmes exploitant les vulnérabilités des applications Internet (codes d'exploitation).

La lutte contre les données malveillantes dans les réseaux a été confiée aux programmes et aux solutions suivantes :

  • Pare-feu
    • Le pare-feu analyse toutes les connexions de l'ordinateur local affin de voir si elles respectent les règles définies : sur la base de cette analyse, le pare-feu autorise la connexion ou la bloque.
    • Un pare-feu pourra identifier la présence d'un cheval de Troie (mais pas le supprimer) lorsque celui-ci tentera de transmettre les données confidentielles qu'il a recueilli.
    • Il est incapable d'identifier les virus dans les connexions normales ou dans les connexions sécurisées.

Illustration 4. Règles du pare-feu pour une application
  • Système de protection contre les attaques de réseau (IDS) :
    • Ces systèmes recherchent les signatures d'attaques dans les connexions de réseau établies, quel que soit le protocole, et parviennent à les bloquer;
    • Ils peuvent identifier un virus mais ils ne sont pas en mesure de le supprimer dans les protocoles répandus de niveau supérieur : HTTP, POP3, etc. Ainsi, en cas de découverte d'un virus dans un message reçu via le protocole POP3, la seule action possible consiste à interrompre la connexion. Cette action ne peut empêcher l'infection par la présence éventuelle d'un virus dans le message. Lors de la tentative de réception d'autres messages du serveur de messagerie, le message infecté provoquera une nouvelle déconnexion;
    • Ils ne peuvent pas déterminer la présence de virus dans les connexions sécurisées.

Illustration 5. Blocage d'une attaque de réseau
  • Logiciel antivirus (antivirus de messagerie et antivirus Internet) :
    • Les logiciels antivirus sont capables d'identifier et de neutraliser n'importe quel virus repris dans leurs bases lors de la réception ou de la transmission de données via un protocole connu de haut niveau;
    • Ils ne peuvent pas déterminer la présence de virus dans les connexions sécurisées.

Illustration 6. Découverte d'un virus dans un fichier téléchargé

Le danger des connexions sécurisées

Comme nous l'avons déjà dit, les connexions de réseau peuvent assurer la transmission de données utiles ou malveillantes. Les outils standards protègent les ordinateurs contre les menaces dans les connexions de réseau standard. Ils ne sont toutefois pas en mesure d'agir face aux menaces dans les connexions sécurisées : l'analyse du contenu de la connexion sécurisée est impossible en raison de la protection offerte par la connexion en elle-même. Autrement dit, les données malveillantes présentes dans des canaux sécurisés peuvent avoir un effet bien plus dévastateur que dans les connexions standard.

La simplicité de la mise en œuvre du chiffrement d'un canal et l'absence (dans la majorité des cas) de certification de l'auteur du fichier ont entraîné l'apparition d’une situation paradoxale : l'existence d'une « connexion sécurisée » avec le serveur crée l'illusion de la sécurité mais cela ne garantit absolument pas l'absence de données malveillantes dans cette connexion.

Le danger que représentent les « connexions sécurisées » est d'autant plus présent aujourd'hui que ce type de connexion est de plus en plus utilisé. Une fois que les développeurs ont intégré la prise en charge du protocole SSL/TLS dans les applications Internet les plus populaires, une multitude de serveurs ont commencé à offrir leurs services de cette manière : en plus des sites de banques, on trouve de plus en plus de services de messagerie et de sites de partenariat qui donnent un accès uniquement via connexion sécurisée. Et la qualification des administrateurs de ces serveurs ne garantit pas toujours que le serveur soit correctement configuré pour des connexions sécurisées.

La situation est d’autant plus complexe que les attaques contre l'ordinateur de l'utilisateur sont réalisées à distance, par exemple en introduisant le fichier infecté dans le serveur qui accepte uniquement les connexions sécurisées.

Les exemples suivants vont illustrer ces propos.

GMail et les virus

Le service de messagerie GMail est accessible uniquement via une connexion sécurisée. Nous savons que les serveurs de messagerie de GMail sont équipés de logiciels antivirus. Envisageons maintenant l'hypothèse suivante :

  1. l'auteur du virus envoie son virus dans la boîte aux lettres d'un utilisateur de GMail.
  2. L'antivirus de GMail ne réagit pas car la mise à jour des bases antivirus n'avait pas encore été réalisée à ce moment.
  3. Quelques instants plus tard, l'utilisateur télécharge directement le message infecté sur l'ordinateur local car l'antivirus de GMail, afin d'optimaliser ses fonctions, analyse le courrier uniquement lors de la réception dans la boîte aux lettres et non pas lors du transfert vers les utilisateurs.
  4. Au niveau de l'ordinateur local équipé d'un logiciel antivirus dont les bases ont été actualisées, le virus n'est pas identifié car la connexion de réseau était chiffrée selon les exigences de GMail, ce qui n'a pas permis au logiciel antivirus d'analyser les messages.
  5. L'antivirus de fichier identifie le virus dans la base de messagerie et requiert sa suppression car dans certains cas il est impossible de réparer la base de messagerie.
  6. Résultat : l'utilisateur va perdre toute sa correspondance.

Virus sur un serveur Internet

Voici un autre exemple, tout aussi intéressant : installation d'un fichier infecté sur un serveur Internet et attraction des internautes vers ce serveur. Si le virus se trouve sur un serveur traditionnel fonctionnant selon le protocole HTTP, l'ordinateur protégé par un antivirus Internet n'a rien à craindre. Par contre, si le virus est placé sur un serveur qui offre ses services via le protocole HTTPS, la situation se complique légèrement :

  1. supposons qu'un auteur de virus parvienne à remplacer certains fichiers d'un serveur de fichiers par ses virus après avoir exploité une vulnérabilité dans l'accès au serveur (comme ce fut le cas lors de l'infection des serveur du fournisseur d'accès russe Valuehost.
  2. L'internaute se rend sur son site familier en utilisant son navigateur habituel avec le protocole HTTPS. L'antivirus Internet ne peut pas voir les données transmises dans la connexion chiffrée et il ne peut pas, par conséquent, empêcher le téléchargement des fichiers infectés.
  3. Au lieu de la page Web habituelle, son navigateur télécharge le virus qui exploite la faille du navigateur. Il s'active immédiatement et exécute son code depuis l'intérieur du navigateur. L'antivirus Fichiers ne peut pas non plus empêcher son exécution car le fichier infecté est traité par l'antivirus uniquement après l'enregistrement sur le disque dur, c'est-à-dire, dans ce cas, après l'exécution du code malveillant.
  4. Résultat : L'ordinateur est infecté.

Solutions

Afin de pouvoir analyser les données transmises via les connexions sécurisées, la majorité des éditeurs de logiciels antivirus proposent des modules externes à ajouter aux applications Web. Cette solution a ses avantages et ses inconvénients :

  • Avantages :
    • Le flux de données entre le client et le serveur n'est pas modifié
    • Le flux de données ne peut être consulté par des tiers
  • Inconvénients :
    • Impossibilité de créer des modules externes pour de nombreuses applications. Exemple frappant : Microsoft Outlook Express, le client de messagerie électronique le plus répandu
    • Restrictions des possibilités d'utilisation des modules externes. Exemple : le client de messagerie Outlook

Illustration 7. Module externe d'antivirus pour Microsoft Office Outlook

L'alternative au module externe d'analyse est l'analyse du trafic sur la base du principe « homme-au-milieu » (MITM). Cette solution supprime les aspects négatifs liés à l'architecture des modules externes. Bien que cette méthode ait ses propres inconvénients, les éditeurs de logiciel antivirus sont obligés d'utiliser cette solution pour protéger leurs utilisateurs.

Cette méthode est une attaque menée contre le protocole SSL/TLS car elle consiste à intercepter la connexion sécurisée, à remplacer le certificat d'origine et à établir deux connexions sécurisées : une connexion entre l'application et l'antivirus proxy et l'autre entre l'antivirus proxy et l'ordinateur distant.


Illustration 8. Connexion sécurisée standard


Illustration 9. Connexion sécurisée analysée
  • Avantages :
    • L'analyse de la connexion est possible pour n'importe quelle application client.
    • La recherche de virus dans la connexion s'opère dans n'importe quel protocole connu.
    • En plus de la recherche de virus, le proxy peut réaliser n'importe quel autre type d'opération avec des données : recherche d'attaque d'hameçonnage, recherche de courrier indésirable, etc.
    • Le flux de données ne peut pas être consulté par des tiers sans réaliser l'attaque MITM (homme-au-milieu).
  • Inconvénients:
    • Le flux de données entre le client et le serveur change. Par conséquent :
      • L'application Internet ne peut pas établir l'authenticité du serveur ;
      • Le serveur ne peut pas établir l'authenticité du client ;
      • Si le proxy ne réalise pas sa propre authentification, il est possible d'organiser une deuxième attaque MITM entre le proxy et le serveur. Cette deuxième attaque pourrait être lancée par un individu mal intentionné afin de lire les données et de les remplacer.

Dans la pratique une analyse bien organisée dans le trafic ne représente pas un réel danger pour l'utilisateur : cette analyse s'opère directement sur l'ordinateur local et peut se dérouler en interaction avec l'utilisateur. Tous les certificats reçus depuis l'ordinateur distant peuvent être analysés par l'antivirus dans les référentiels des certificats comme le font les applications Internet.

Les inconvénients de la méthode MITM sont vite oubliés face à la protection complète de l'ordinateur contre les menaces dans tous les types de connexion.

Solutions de Kaspersky Internet Security

Kaspersky Internet Security propose une solution pour analyser les connexions sécurisées selon les deux méthodes :

  1. Modules externes pour les applications Internet :
    • MS Outlook,
    • TheBat,
    • IE ScriptChecker
  2. Analyse des connexions sécurisées selon la méthode MITM.
    • Kaspersky Internet Security indique toutes les actions qu'il exécute :
      • Notification de l'utilisateur sur le remplacement du certificat du serveur par son propre certificat ;
      • Analyse du certificat reçu du serveur dans le référentiel de certificats Windows, à l'instar de ce que font les applications Internet ;
      • Absence de la dernière étape dans MITM : enregistrement du certificat de remplacement dans le référentiel des répertoires de confiance. Cette tâche revient à l’utilisateur.
    • Kaspersky Internet Security offre la possibilité de désactiver l'analyse de la connexion en fonction de l'application, du serveur ou du port. Cela résout tous les problèmes possibles liés à l'exactitude du fonctionnement des services avec l'analyse de l'authenticité des clients.
    • Kaspersky Internet Security réalise toutes les analyses possibles dans les connexions sécurisées :
      • Antivirus Internet identifie les virus dans le trafic du navigateur
      • Antivirus Courrier identifie les virus dans le trafic des clients de messagerie
      • Anti-Escroc identifie les sites frauduleux et les liens qui y mènent
      • Anti-bannière supprime les publicités envahissantes aux utilisateurs
      • Anti-Spam protège l'utilisateur contre le courrier indésirable

Illustration 10. Découverte du virus d'essai eicar.com dans une connexion sécurisée du navigateur

Conclusion

Les connexions sécurisées visent à protéger les données transmises contre le vol et les modifications. Mais de nos jours, les menaces de réseau, contre lesquelles les connexions sécurisées sont inutiles, sont tout aussi dangereuses que le vol ou la modification de données.

De plus, le terme « connexion sécurisée » peut semer la confusion et créer un faux sens de sécurité chez l'utilisateur qui pensera que sa sécurité est garantie lorsqu'il utilise une telle connexion. La situation est compliquée par le fait que les moyens standard de protection de réseau ne peuvent pas fonctionner dans les canaux protégés.

Afin de pouvoir garantir la protection totale des ordinateurs contre toutes les menaces de réseau, il faut absolument utiliser des méthodes spéciales de traitement des connexions sécurisées. La solution la plus simple et la plus évidente consiste à utiliser des modules externes pour les applications Internet. Malheureusement, cette solution ne peut pas être appliquée partout car de nombreuses applications Internet ne permettent pas l'ajout de modules externes ou limitent fortement leurs fonctions. Une autre solution mise au point par les éditeurs de logiciels antivirus consiste à analyser le trafic.

Il ne faut pas sous-estimer le danger que représente les « connexions sécurisée » Lorsque vous organiserez la défense de votre ordinateur, veillez à ce que votre logiciel antivirus offre bel et bien une protection totale contre tous les types de menaces de réseau.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com