Qu’est-ce qu’une attaque par dépouillement de SSL et comment l’éviter ?

Depuis leur introduction sur le marché commercial, les certificats SSL ont fait l’objet de plusieurs améliorations en matière de sécurité et se targuent aujourd’hui d’un niveau de cryptage presque incassable. Toutefois, les améliorations constantes apportées au protocole SSL n’ont pas découragé les attaquants cyniques d’essayer de voler les données cryptées.

Même avec des mesures de sécurité robustes, une cybermenace connue sous le nom de ” SSL stripping” plane sur le web, à la recherche des failles de sécurité et des lacunes dans la configuration HTTPS, prête à frapper à la première occasion. Cet article explique ce qu’est une attaque par démembrement du SSL, pourquoi elle est dangereuse et comment vous pouvez détecter et empêcher les attaques par démembrement du SSL de menacer votre site web et votre entreprise.

Table des matières

1. Qu’est-ce que le démembrement du SSL ?
2. Comment fonctionne le démembrement du SSL ?
3. Quels sont les types de démembrement du SSL ?
4. Pourquoi la bande SSL est-elle si dangereuse ?
5. Comment détecter le démembrement du SSL ?
6. Comment empêcher le démembrement du SSL ?

Qu’est-ce que le démembrement du SSL ?

Le décapage du SSL est une cyberattaque qui vise la communication sécurisée entre un utilisateur et un site web. Il tire parti du fait que la plupart des sites web et des services en ligne utilisent le cryptage SSL/TLS pour protéger les informations sensibles transmises sur l’internet. Une attaque par bande SSL transforme une connexion HTTPS sécurisée en une connexion HTTP non sécurisée, ce qui permet aux cybercriminels d’intercepter et de manipuler plus facilement les données qui transitent entre un serveur web et un client.

Comment fonctionne le démembrement du SSL ?

En 2009, Moxie Marlinspike, un célèbre chercheur américain en sécurité informatique qui prône l’utilisation généralisée de la cryptographie forte et des PET (Privacy Enhancing Technologies), a parlé pour la première fois de la bande SSL lors de l’événement Black Hat consacré à la sécurité de l’information.

Pour mieux comprendre le fonctionnement des attaques de type “SSL stripping”, considérons un scénario dans lequel un utilisateur souhaite accéder à un site web via HTTPS. Le navigateur web de l’utilisateur initie la connexion en demandant un certificat SSL au site web. Si le certificat SSL du site web est valide, le navigateur lui fera confiance et permettra aux visiteurs d’accéder à la page web.

Cependant, dans le cas d’une attaque par dépose de SSL, le pirate agit comme un homme du milieu, interceptant la demande initiale et rétrogradant la connexion en HTTP avant qu’elle n’atteigne le site web. Par conséquent, le navigateur n’est pas conscient de l’attaque et permet au pirate d’intercepter, de lire et de modifier toutes les données transmises entre l’utilisateur et le site web.

L’attaquant se positionne entre l’utilisateur et le site web par différents moyens, tels qu’un point d’accès Wifi malveillant ou un appareil réseau compromis. Ils modifient ensuite la réponse du site web, en supprimant toute référence à HTTPS et en la remplaçant par HTTP.

En outre, ils peuvent supprimer les liens sécurisés, les redirections ou d’autres éléments qui appliquent le protocole HTTPS.

Comme le navigateur de l’utilisateur pense désormais que le site web utilise HTTP, toutes les demandes ultérieures de l’utilisateur, telles que la soumission d’identifiants de connexion ou d’informations sensibles, seront envoyées par le biais d’une connexion non sécurisée.

Quels sont les types de décapage du SSL ?

Il existe deux types courants d’attaques par démembrement du protocole SSL : les attaques passives et les attaques actives. Entrons dans les détails techniques et examinons chaque attaque.

Dénudation passive du SSL

Dans le cas d’une attaque passive de type “SSL stripping”, l’attaquant intercepte la communication entre l’utilisateur et le site web sans modifier les données. Voici un aperçu de la procédure :

1. L’utilisateur se connecte au site web en utilisant HTTPS, mais l’attaquant intercepte cette connexion.
2. Le pirate effectue ensuite une attaque par déclassement SSL en manipulant les en-têtes de réponse renvoyés au navigateur de l’utilisateur.
3. Une fois la connexion rétrogradée, l’attaquant peut intercepter et visualiser l’ensemble de la communication entre l’utilisateur et le site web.
4. L’attaquant collecte silencieusement les données interceptées à des fins malveillantes, telles que l’usurpation d’identité, la compromission d’un compte ou l’accès non autorisé à des ressources sensibles.

Suppression active du SSL

Les attaques actives de dénudation du SSL vont encore plus loin : elles ne se contentent pas de rétrograder la connexion en HTTP, mais modifient également le contenu des pages web échangées entre l’utilisateur et le site web. Voici une explication plus détaillée :

1. L’attaquant intercepte la connexion HTTPS de l’utilisateur et la rétrograde en HTTP, comme dans le cas d’une désactivation passive du SSL.
2. Dans le cas d’une désactivation active du SSL, le pirate modifie activement le contenu des pages web échangées entre l’utilisateur et le site web. Ils peuvent utiliser différentes techniques, telles que

• Modification des liens: L’attaquant modifie les liens de la page web pour qu’ils pointent vers des URL HTTP non sécurisées au lieu d’URL HTTPS sécurisées.
• Injection de code malveillant: L’attaquant peut insérer un code JavaScript ou HTML malveillant dans la page web pour capturer les données de l’utilisateur ou voler des données sensibles.
• Redirection de l’utilisateur: L’attaquant peut rediriger l’utilisateur vers un faux site web qui imite le site légitime – une attaque classique d’hameçonnage aux conséquences potentiellement désastreuses.

Les attaques actives de dépouillement du SSL sont plus dangereuses que les attaques passives car elles impliquent une manipulation du contenu et peuvent conduire à une exploitation supplémentaire et à la compromission des informations de l’utilisateur.

Pourquoi la bande SSL est-elle si dangereuse ?

SSL Strip réachemine tout le trafic provenant de la machine d’une victime vers un proxy créé par l’attaquant. Maintenant, mettons-nous à la place de l’agresseur. Nous avons créé une connexion entre la victime et notre serveur proxy. Il peut intercepter tout le trafic qui nous parvient. Sans l’utilisation de la bande SSL, nous recevrions simplement les données cryptées, que nous ne pourrions pas décoder.

Mais les choses changent radicalement lorsque nous ajoutons la bande SSL dans le mélange. Si quelqu’un se connecte à notre serveur proxy, alors que la bande s’exécute en arrière-plan, la victime ne recevra aucune alerte du navigateur concernant l’erreur de certificat SSL. Ils ne soupçonneront pas qu’une attaque est en cours. Comment la bande SSL peut-elle tromper à la fois le navigateur et le serveur du site web ?

La bande tire parti de la manière dont la plupart des utilisateurs accèdent aux sites web SSL. La majorité des visiteurs se connectent à la page d’un site web qui redirige (ex : les redirections 302), ou ils arrivent sur une page SSL via un lien depuis un site non-SSL. Si la victime souhaite, par exemple, acheter un produit numérique et tape l’URL suivante dans la barre d’adresse www.somedigitalproduct.com, le navigateur se connecte à la machine de l’attaquant et attend une réponse du serveur. L’attaquant transmet à son tour la demande de la victime au serveur de la boutique en ligne et reçoit la page de paiement HTTPS sécurisée. Par exemple https://www.somedigitalproduct.com.

À ce stade, l’attaquant a le contrôle total de la page de paiement sécurisé. Il le fait passer de HTTPS à HTTP et le renvoie au navigateur de la victime. Le navigateur est maintenant redirigé vers http://www.somedigitalproduct.com. À partir de maintenant, toutes les données de la victime seront transférées en texte clair, et l’attaquant pourra les intercepter. Pendant ce temps, le serveur du site web pense qu’il a réussi à établir une connexion sécurisée. C’est effectivement ce qu’il a fait, mais avec la machine de l’attaquant, et non celle de la victime.

Comment détecter le démembrement du SSL ?

Bien qu’il soit difficile de repérer les attaques de type “SSL stripping”, il existe plusieurs indicateurs que vous pouvez surveiller. Voici cinq signes qui peuvent aider à détecter le décapage de SSL.

1. Absence du symbole du cadenas: En général, lorsque vous visitez un site web sécurisé, votre navigateur affiche un symbole de cadenas dans la barre d’adresse près de l’URL du site. Si le symbole du cadenas est absent ou remplacé par une icône d’avertissement, cela peut indiquer que la connexion se fait désormais par HTTP et que le protocole SSL risque d’être désactivé.
2. URL incohérente: Prêtez attention à l’URL du site web. Lorsque vous chargez initialement un site web sécurisé via HTTPS, l’URL commence par “https://”. Si, à un moment quelconque de votre interaction avec le site web, l’URL devient “http://” au lieu de rester “https://”, cela signifie que la connexion a été rétrogradée et que le décodage du SSL est peut-être en cours.
3. Messages d’avertissement du navigateur: Les navigateurs modernes affichent souvent des messages d’avertissement en cas de problèmes de sécurité. Si votre navigateur indique que le certificat de sécurité du site n’est pas valide ou que la connexion n’est pas sécurisée, vous devez quitter le site.
4. Avertissements relatifs aux contenus mixtes: Les sites web sécurisés (HTTPS) ne doivent pas charger de contenu, tel que des images ou des scripts, à partir de sources non sécurisées (HTTP). Si votre navigateur affiche des avertissements concernant un “contenu mixte”, cela signifie que la connexion sécurisée a pu être altérée, ce qui peut indiquer une attaque par déni de SSL.
5. Comportement inattendu: Si vous remarquez un comportement inhabituel sur un site web, tel qu’une fonctionnalité manquante, des images cassées ou des éléments de page incohérents, cela peut également être le signe d’une attaque par décapage du SSL. Les attaquants peuvent modifier le contenu ou injecter un code malveillant, ce qui entraîne un comportement inattendu du site web.

Il convient de noter que ces indicateurs ne sont pas infaillibles et qu’ils n’indiquent pas toujours une attaque MitM ou un strip SSL. Cependant, si vous rencontrez l’un de ces signes, il est conseillé de faire preuve de prudence et d’envisager la possibilité d’une attaque en cours.

Comment empêcher le démembrement du SSL ?

La prévention du démembrement du SSL nécessite une approche à plusieurs niveaux. Tout d’abord, les propriétaires de sites web devraient imposer les connexions HTTPS par défaut en mettant en œuvre le protocole HTTP Strict Transport Security (HSTS), qui demande au navigateur de l’utilisateur de ne communiquer avec le site web que par l’intermédiaire de connexions HTTPS sécurisées. En outre, les propriétaires de sites web doivent renouveler le certificat SSL à temps et utiliser les protocoles cryptographiques et les algorithmes de cryptage les plus récents.

Du point de vue de l’utilisateur, il est essentiel d’être vigilant et de vérifier la sécurité des sites web avant de partager des informations sensibles. Les utilisateurs doivent rechercher le symbole du cadenas, vérifier la présence du préfixe “https” dans l’URL et faire preuve de prudence lorsqu’ils saisissent leurs identifiants de connexion ou effectuent des transactions en ligne sur des sites web inconnus ou suspects. L’utilisation d’un réseau privé virtuel (VPN) fiable peut également contribuer à la protection contre les attaques de type “SSL stripping” en chiffrant l’ensemble du trafic internet et en empêchant son interception par des attaquants potentiels.

Conclusion

Malgré les progrès du cryptage SSL/TLS, les attaquants continuent d’exploiter les vulnérabilités et les failles pour transformer les connexions HTTPS sécurisées en connexions HTTP non sécurisées. Il est désormais plus facile de détecter les attaques par décapage du SSL, car tous les navigateurs modernes signalent les sites web HTTP comme dangereux et encouragent les utilisateurs à ne pas les utiliser. En restant informés, en mettant en œuvre des mesures de sécurité solides et en étant proactifs dans la détection et la prévention de ces attaques, les particuliers et les entreprises peuvent garantir des interactions en ligne plus sûres.

Questions fréquemment posées

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Économisez 10% dès maintenant!

Rédigé par Dionisie Gitlan

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.