Skip to main content

Documentation technique Olfeo SaaS

Gérer le déchiffrement TLS

À propos du HTTPS et du déchiffrement des flux

Avis

Vous êtes client Olfeo SaaS Lite, cette section ne s'applique pas pour vous et n'est pas affichée dans l'interface d'administration.

Olfeo SaaS filtre et analyse le trafic HTTP et HTTPS de vos utilisateurs.

Le HTTPS correspond à la déclinaison sécurisée du protocole HTTP, intégrant le protocole TLS (Transport Layer Security) qui est une version plus récente et plus sécurisée du protocole SSL (Secure Socket Layer) plus connu.

Les flux chiffrés via le protocole HTTPS représentent actuellement plus de 90% des flux web en France et la tendance est à la généralisation totale du chiffrage des échanges pour une meilleure sécurité globale.

À quoi sert le déchiffrement des flux HTTPS ?

TLS repose sur le chiffrement de tout ce qui n'est pas nécessaire à l'acheminement d'une requête. Dit autrement, seul le nom de domaine et son extension ne sont pas cryptés : ainsi pour consulter documentation.olfeo.com/fr/releases-notes par exemple, seul "olfeo.com" sera lisible. Le reste de l'URL et le contenu de la requête (données de formulaires, fichiers) comme le contenu de la réponse faite ensuite par le serveur sera chiffré pour que personne ne compromette l'intégrité et la confidentialité des échanges.

Le chiffrement des requêtes garantit donc la sécurité et la confidentialité des informations échangées, légitimes comme malicieuses ! Lors d'un phishing bien réussi, le téléchargement d'un fichier malveillant se fera presqu'exclusivement via le protocole HTTPS, il est important de limiter les risques au sein de ce trafic.

C'est là qu'intervient le déchiffrement TLS. Il permet aux organisations de déchiffrer le trafic et d'en inspecter le contenu. Le trafic légitime est ensuite chiffré à nouveau et envoyé sur son chemin.

La configuration du déchiffrement TLS permet :

  • L'application des règles de filtrage sur des flux HTTPS.

  • L'analyse de contenu distant récupéré.

Comment fonctionne le déchiffrement des flux HTTPS ?

Pour garantir une communication sécurisée, le mécanisme utilisé dans le cadre d’un échange HTTPS repose sur deux éléments : une authentification à l’aide d’un certificat associé au site web que le navigateur du poste client va vérifier, ainsi que sur l’échange de clés publiques et privées. La clé publique (accessible à tous) est utilisée pour chiffrer les données, tandis que seule la clé privée permet de les déchiffrer.

Pour intercepter les flux chiffrés, Olfeo SaaS a recours à la technique du MITM (Man in the middle) : Olfeo SaaS se positionne entre le poste client final et le serveur web pour intercepter la requête (dont son URL complète), la faire au serveur demandé puis intercepter la réponse et le certificat renvoyés par le serveur. Ainsi, il va pouvoir déchiffrer et analyser le contenu du flux intercepté.

Une fois l’analyse terminée, Olfeo SaaS créé une nouvelle session TLS pour chiffrer à nouveau le contenu : il génère un certificat de remplacement au nom du serveur demandé par l'utilisateur mais émis par l'autorité de certification "Olfeo SaaS Root proxy". Olfeo SaaS va donc reformer la communication entre le serveur et le navigateur web sans briser la chaîne de sécurité puisque l'autorité de certification "Olfeo SaaS Root proxy" est installée sur le poste de l'utilisateur lors du déploiement de l'Agent : l’utilisateur continue d'accéder au site web de manière sécurisée et Olfeo SaaS peut vérifier la nature des contenus échangés.

Pour cela, nous recommandons fortement d'activer le déchiffrement TLS.

Attention

Par défaut, le déchiffrement TLS est désactivé : les flux HTTPS des utilisateurs ne sont pas déchiffrés. Vous devez l'activer lors de la première configuration de votre compte.

Si le déchiffrement TLS n'est pas configuré, Olfeo SaaS ne pourra pas analyser les données transmises à l'intérieur du canal de communication chiffré. Cela a deux conséquences :

  1. Les politiques de filtrages basées sur l'URL complète ne peuvent être appliquées - le filtrage est donc très grossier et l'Antivirus ne peut pas fonctionner.

  2. Si vous paramétrez une politique de filtrage pour bloquer des destinations que vous ne déchiffrez pas, l'établissement de la connexion sécurisée est terminée prématurément. Aucune redirection vers une page de sensibilisation n'est donc possible pour les flux HTTPS non-déchiffrés et bloqués.

    L'utilisateur est bien bloqué dans sa navigation mais son navigateur affichera une erreur et ne sera pas redirigé vers une page de sensibilisation (puisque la connexion est interrompue prématurément)

Comment sont traitées les données analysées ?

Lorsque qu'une requête est déchiffrée, il est possible d'accéder à l'intégralité de son contenu.

Pour d'évidentes raisons de confidentialité, nous ne loguons et ne conservons JAMAIS les charges utiles relatives à la soumission de formulaires, notamment d'identification.

Pour d'évidentes raisons de performances, nous ne conservons pas non plus les fichiers téléversés ou téléchargés : dans ce dernier cas, seul le résultat de l'analyse est conservé.

Lorsque vous autorisez le déchiffrement TLS, vous permettez à Olfeo SaaS de déchiffrer et d'inspecter les flux HTTPS.

Changer l'état du déchiffrement TLS

  1. Rendez-vous sur SWG > Déchiffrement TLS.

  2. Cliquez sur le curseur pour que l'état du déchiffrement soit Activé.

    dechiffrement_procedure.png

Vérification : assurez-vous que le déchiffrement TLS fonctionne correctement en vous rendant sur une page web HTTPS. Cliquez sur l'icône du cadenas dans la barre d'adresse pour vérifier le certificat : celui-ci doit afficher les informations issues du certificat Olfeo (éditeur de Olfeo SaaS).

Note

A propos du certificat d'autorité :

  • Il n'est normalement pas nécessaire d'installer le certificat TLSOlfeo SaaS individuellement : celui-ci est automatiquement installé lors de l'installation de l'Agent de poste d'authentification.

  • Olfeo SaaS supporte les versions TLS 1.0 à TLS 1.3.

    Lorsque le déchiffrement TLS est activé, le proxy Olfeo SaaS inspecte toutes les sessions TLS, quelle que soit leur version et tentera toujours d'établir la connexion la plus sécurisée.

  • Le cas échéant, la mise à jour des nouveaux certificats d'autorité est pris en charge directement par l'Agent de poste. Aucune action n'est requise de votre part.

Il se peut que vous deviez exclure certains sites du déchiffrement TLS, en raison de contraintes techniques ou dans une optique de respect de la vie privée (voir la note Important ci-dessous).

Bien que vous puissiez exclure des catégories entières du déchiffrement, le cas d'usage le plus courant reste d'assurer le bon fonctionnement avec des services qui refusent le déchiffrement des flux par tout type de proxy ou service de sécurité : Apple, Adobe ou Microsoft exigent ce genre d'exclusions par exemple.

Pour mettre en place Olfeo SaaS dans votre contexte métier, n'hésitez pas à créer différentes listes de domaines d'exclusion du déchiffrement.

Important

Dans une optique de respect de la vie privée, l'Agence Nationale de la Sécurité et des Systèmes d'Information (l'ANSSI) recommande de ne pas déchiffrer les catégories "Banque, Assurances, Santé" : nous proposons par défaut de les exclure du déchiffrement lorsque vous l'activez la première fois, toutefois, cela étant les exclure ou non reste à votre discrétion.

Exclure des URL du déchiffrement :

  1. Rendez-vous sur SWG > Déchiffrement TLS.

  2. Vérifiez que le déchiffrement est bien actif.

  3. Cliquez sur Ajouter une exclusion.

  4. Sélectionnez la/le(s) thème(s) et/ou catégorie(s) et/ou liste(s) de domaines que vous souhaitez exclure du déchiffrement :

    destinations_exclues_du_dechiffrement_.png
  5. Cliquez sur Valider.