Les Défis des Passerelles Web Sécurisées (SWG)
Les Passerelles Web Sécurisées (SWG) jouent un rôle crucial dans la sécurité des entreprises. Cependant, il est alarmant de constater que toutes les SWG figurant dans le Quadrant Magique de Gartner pour SASE et SSE peuvent être contournées, permettant ainsi aux attaquants de propager des logiciels malveillants sans que les passerelles ne s’en aperçoivent.
Vivek Ramachandran, fondateur de SquareX et chercheur en sécurité de longue date, a développé une méthode qu’il appelle « réassemblage de dernier kilomètre ». Il a identifié plus de 25 techniques différentes pour contourner les SWG, toutes reposant sur un même principe fondamental : ces systèmes ne parviennent pas à détecter de nombreux éléments présents dans les navigateurs web modernes.
Selon Ramachandran, « [les SWG] ont été conçues il y a environ 15 à 17 ans, à l’origine comme des proxies d’interception SSL. » Il souligne que l’importance croissante de la sécurité dans le cloud a conduit à la création d’une pile de sécurité complète dans le cloud, ce qui constitue le point de départ du problème.
Les Failles des SWG : Une Problématique Architecturale
Les SWG s’appuient principalement sur leur capacité à déduire les attaques au niveau de l’application à partir du trafic réseau avant qu’il n’atteigne le navigateur web. Si le trafic n’est pas identifié comme malveillant, la SWG peut ne pas le détecter et le transmettre directement au navigateur de l’utilisateur.
Ramachandran a réussi à exploiter cette faille. Il déclare : « Ces fournisseurs ne peuvent pas corriger cela, car ce sont des bugs architecturaux fondamentaux. »
Comprendre le Réassemblage de Dernier Kilomètre
Le concept de réassemblage de dernier kilomètre est assez simple. « Les attaquants ont accès à une machine de calcul de dernier kilomètre, qui est le navigateur web, où ils peuvent exécuter des scripts et réassembler des attaques à la dernière minute, » explique Ramachandran. Pour la victime, l’expérience reste identique.
En fragmentant ou en découpant des logiciels malveillants, en utilisant des fichiers Web Assembly, en dissimulant des malwares dans d’autres fichiers, et en divisant les fichiers malveillants en plusieurs petites pièces indétectables, un attaquant peut livrer et forcer un navigateur à réassembler des malwares sans que la SWG ne soit alertée d’un téléchargement en cours.
Ramachandran espérait que ces morceaux, ne ressemblant pas à de véritables fichiers, déclencheraient au moins une alarme, mais il constate qu’ils n’ont généralement pas suscité de réaction.
Les Limites des SWG Face à la Complexité du Web Moderne
La facilité avec laquelle le contenu malveillant peut être dissimulé derrière les SWG est en grande partie due à leur obsolescence. Ces systèmes ne sont pas adaptés à la complexité des navigateurs web contemporains. Les SWG possèdent de nombreux canaux non surveillés, tels que gRPC, WebRTC, WebSocket et WebTorrent, ce qui signifie que les éléments envoyés par ces méthodes échappent complètement à tout contrôle.
Ramachandran souligne que « la plupart des fournisseurs de SWG sont conscients de certaines de ces attaques, mais cela compromettrait leur approche. » Il ajoute que « les SWG ne parviennent à bloquer que les attaques les plus basiques. »
Une Réflexion sur la Sécurité dans le Cloud
Aborder ce problème fondamental des SWG tout en s’appuyant sur le cloud est, selon Ramachandran, « une quête futile », car cela remet en question « l’ensemble du modèle de sécurité dans le cloud. » Pour détecter toutes les attaques qu’il a identifiées, il faudrait émuler chaque onglet de navigateur afin que la passerelle soit consciente du contexte de l’application, ce qu’il considère pratiquement impossible.
Bien qu’il ait choisi de ne pas nommer de fournisseurs spécifiques, Ramachandran souhaite que les professionnels de la sécurité et les responsables de la sécurité de l’information (CISO) prennent conscience que les outils sur lesquels ils comptent pour protéger l’activité de navigation de leurs utilisateurs ne fonctionnent pas aussi efficacement qu’ils le pensent.
Ramachandran suspecte également que certaines des attaques qu’il présentera lors de DEF CON sont déjà utilisées dans le monde réel. SquareX mettra à disposition un outil gratuit pour permettre aux clients de SWG de tester la vulnérabilité de leurs propres configurations de passerelles.
Pour se protéger contre de telles attaques, Ramachandran propose une solution simple : « Les attaques se produisent dans le navigateur, et le seul endroit où elles peuvent être détectées est sur le point de terminaison. » Malheureusement, de nombreux clients de SWG peuvent ne pas disposer de la protection des points de terminaison adéquate pour compenser les lacunes des SWG.
Il conclut en affirmant que « une grande partie de la stratégie marketing de ces fournisseurs SASE et SSE repose sur l’idée que nous filtrons déjà les malwares dans le cloud, donc vous n’avez pas besoin de sécurité des points de terminaison. » Cette approche soulève des questions sur la gestion des points de terminaison, surtout face aux attaques de réassemblage de dernier kilomètre.
