Le principe d’un antivirus ou d’un proxy SSL est de protéger l’utilisateur d’Internet d’attaques malveillantes : une étude vient de démontrer qu’ils rendaient trop souvent les connexions plus vulnérables, à vause de leurs propres failles et défauts.
Les logiciels de sécurité, antivirus et proxy SSL, servent normalement à protéger votre navigation Internet. Un groupe de chercheurs en sécurité vient de démontrer, durant la conférence NDSS 2017 de San Diego, qu’ils généraient également une vulnérabilité qui rendrait les connexions moins sécurisées.
Cela s’explique par ta technique d’analyse réseau qu’utilisent ces logiciels, l’interception HTTPS. Antivirus et proxy peuvent en effet déchiffrer la connexion TLS de l’utilisateur, grâce à des certificats de sécurité autosignés, installés sur le poste de l’utilisateur, soit en même temps que le logiciel (pour les antivirus), soit par l’administrateur réseau (pour les proxy SSL d’entreprise).
L’interception HTTPS en question
Ce déchiffrement du flux SSL a pour but de détecter les malwares et de surveiller les flux entrants / sortants, pour éviter les fuites d’information. Un principe louable, mais qui génère deux connexions HTTPS : une entre l’utilisateur et le dispositif d’interception, l’autre entre ce dernier et le serveur web.
Le cœur du problème est que cette seconde connexion est bien souvent moins bien sécurisée que la première. Les fournisseurs d’antivirus et de proxy introduisent des vulnérabilité, en utilisant d’anciens algorithmes de chiffrement, en ne validant pas les certificats de sécurité ou ne corrigeant pas des failles.
10% de bons élèves, 25% de logiciels extrêmement vulnérables
Et si, parmi les antivirus et proxy analysés par les chercheurs (les plus utilisés au niveau mondial), environ 10% sont performants et ne présentent pas de risques, environ un quart sont considérés comme « mauvais », et génèrent des risques de sécurité d’ampleur. En poussant leur analyse, les chercheurs ont estimé qu’entre 5 et 10% des connexions HTTPS effectuées en utilisant un antivirus ou un proxy présentent des failles de sécurité, voire ne sont tout simplement plus sécurisées.
Face à ces résultats désastreux, les chercheurs ont recommandé aux fournisseurs d’antivirus de trouver d’autres techniques que l’interception HTTPS, et aux administrateurs réseau de bien vérifier leurs proxy avant de les mettre en place.