Qu’est-ce qu’une attaque de stripping SSL ?

Secure Sockets Layer/Transport Layer Security (SSL/TLS) est un protocole conçu pour améliorer la sécurité du trafic réseau. Un protocole utilisant SSL, tel que HTTPS, inclura des protections de chiffrement et d’intégrité des données et authentifiera l’identité du serveur. Par défaut, la plupart des navigateurs modernes utilisent le protocole HTTPS protégé par SSL. Une attaque par dépouillement SSL est conçue pour forcer le navigateur d’un utilisateur à se connecter à une version non protégée du site sans chiffrement SSL.

En savoir plus Demandez le livre électronique sur les attaques DDoS

Qu’est-ce qu’une attaque de stripping SSL ?

Comment cela fonctionne-t-il ?

Une attaque de stripping SSL est réalisée via une attaque de type man-in-the-middle (MiTM). En s'insérant au milieu de la connexion entre un client et un serveur Web, un attaquant peut contrôler les données qui parviennent à l'utilisateur. Une fois sur place, l'utilisateur peut filtrer les paquets envoyés entre le client et le serveur.

Une connexion SSL/TLS est construite sur une connexion TCP standard non chiffrée. Une fois la connexion TCP établie, le client peut soit lancer la session SSL/TLS, soit passer directement à la demande de contenu Web via HTTP non chiffré.

Lors d'une attaque par suppression du SSL, l'attaquant intercepte tout le trafic entre le client et le serveur et « supprime » tout contenu SSL des demandes du client avant de le transmettre au serveur. Par conséquent, le serveur fournira la version HTTP non cryptée de la page, que l'attaquant enverra au client.

Si le serveur ne fournit qu'une page Web HTTPS, l'attaquant peut créer deux connexions distinctes. Ils maintenaient une connexion HTTP avec le client et diffusaient le contenu qu'ils demandaient. Ils pouvaient accéder à ce contenu en créant leur propre connexion HTTPS au serveur et en accédant aux pages demandées par l'utilisateur.

Types d'attaques par stripping SSL

Lors d'une attaque par stripping SSL, le principal défi pour l'attaquant est de lancer l'attaque intermédiaire dont il a besoin pour intercepter le trafic entre le client et le serveur. Un attaquant peut y parvenir de plusieurs manières, notamment :

  • Usurpation d’ARP : Si un attaquant se trouve sur le même réseau local (LAN) que la cible, il peut effectuer une attaque par usurpation ARP qui mappe l’adresse IP de la cible à l’adresse MAC de l’attaquant. Cela entraîne l'envoi de toutes les données destinées à la cible vers l'ordinateur de l'attaquant.
  • Serveurs proxy : Un ordinateur peut être configuré pour utiliser un serveur proxy, ce qui permettra d'envoyer tout le trafic vers une destination en particulier. Si un attaquant parvient à configurer l'ordinateur d'une cible pour qu'il utilise le serveur de l'attaquant comme proxy, il peut intercepter tout le trafic de navigation de l'utilisateur.
  • Wi-Fi public malveillant : Un attaquant peut configurer un réseau Wi-Fi public qui imite un réseau de confiance. Si les utilisateurs se connectent au réseau, l’attaquant a accès à tout le trafic sans fil transitant par son routeur malveillant.

Les risques commerciaux liés aux attaques par suppression du SSL

Les attaques par stripping SSL éliminent la protection apportée au trafic Web par le SSL/TLS. Cela peut être utilisé lors de diverses attaques ayant un impact négatif sur l'entreprise, notamment :

  • Vol d'informations d'identification : les attaques par suppression de SSL peuvent être utilisées pour inciter les utilisateurs à saisir leurs informations d'identification sur des sites Web non cryptés, afin de permettre à un attaquant de les voler.
  • Exposition aux données sensibles : le stripping SSL permet à un attaquant de lire toutes les données circulant entre le client et le serveur, ce qui pourrait exposer des données sensibles.
  • Site de Hameçonnage : Un attaquant peut diffuser une version malveillante d’un site Web qui contient un logiciel malveillant ou d’autres contenus d’hameçonnage .
  • Contenu malveillant : Un attaquant pourrait injecter du contenu malveillant dans les pages Web fournies à l’utilisateur, ce qui pourrait diffuser des logiciels malveillants ou effectuer d’autres actions malveillantes.

Comment empêcher les attaques par stripping SSL

Les attaques par stripping SSL dépendent de la capacité de l'attaquant à effectuer une attaque MiTM et à faire passer un utilisateur à une connexion HTTP non cryptée sans qu'il s'en aperçoive. Voici quelques moyens de vous protéger contre les attaques par suppression de SSL :

  • Exiger le HSTS : le protocole HTTP Strict Transport Security (HSTS) impose aux navigateurs d'ouvrir les pages Web uniquement en HTTPS, afin d'empêcher les attaques par suppression de SSL.
  • Activer les cookies sécurisés : Les cookies sont utilisés pour identifier les utilisateurs, et les cookies sécurisés ne sont accessibles que par des sites utilisant HTTPS. L’activation des cookies sécurisés garantit que les données des cookies ne peuvent être envoyées que via des connexions HTTPS.
  • Formation des utilisateurs : apprenez aux employés à identifier les sites non sécurisés qui n'utilisent pas de connexion HTTPS.
  • Utiliser un VPR: Utilisez un RVP ou une solution similaire pour fournir une connexion sécurisée et chiffrée aux utilisateurs distants, empêchant ainsi les attaquants d’effectuer une attaque MitM.

Se protéger contre les attaques par stripping SSL

Les attaques SSL stripping permettent à un cybercriminel de lancer une attaque MiTM, qui peut être utilisée à des fins d'écoute ou à d'autres fins malveillantes. L’éducation des utilisateurs et l’utilisation d’un RVP sur un réseau non fiable peuvent aider à se protéger contre ces attaques.

Les attaques SSL stripping ne sont pas la seule menace à laquelle une entreprise et ses utilisateurs peuvent être confrontés. Pour en savoir plus sur le paysage actuel des cybermenaces et sur les menaces les plus importantes à surveiller, consultez le Rapport sur la cybersécurité 2023 de Point de contrôle.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK