- Keysight annonce que son équipe Application and Threat Intelligence (ATI) a mis au jour une nouvelle faille d’échange TLS (Transport Layer Security) qui repose sur le comportement conforme au protocole pour contourner les défenses réseau classiques.
- Le canal secret qui a été découvert permettrait aux attaquants de modifier les paquets d’échange TLS en réorganisant simplement les paramètres, sans injection de code malveillant. Ce qui rend, selon Keysight, la détection par les pare-feu et les systèmes de prévention des intrusions quasiment impossible.
« La découverte de ce nouveau canal dérobé, exploitant des comportements légitimes du protocole TLS à des fins malveillantes, modifie radicalement la donne « , déclare Ram Periakaruppan, vice-président et directeur général des solutions de test et de sécurité réseaux chez Keysight. » Il aide à restaurer un équilibre des forces en faveur des cyberdéfenseurs ”.
En utilisant la structure modulable et interchangeable des paquets TLS Client Hello, les attaquants peuvent ainsi exfiltrer des données ou mettre en place des communications de commandement et de contrôle (C2), sans être détectés par la plupart des outils de sécurité. Cela met en lumière la façon dont les pirates tirent parti de la flexibilité de conception des protocoles de chiffrement largement utilisés, notamment TLS.
Omniprésence du chiffrement TLS
La quasi-omniprésence du chiffrement TLS dans les systèmes connectés à Internet confère à la découverte de cette faille une dangerosité particulière. Selon le rapport IBM Cost of a Data Breach Report 2024, une fuite de données coûte en moyenne 4,88 millions de dollars et son endiguement prend plus de 250 jours, d’où l’importance cruciale de la mise en place d’une détection précoce et de tests rigoureux.
Keysight a révélé ses conclusions lors de la récente Silicon Valley Cybersecurity Conference, partageant pour la première fois avec la communauté de la sécurité des informations sur cette catégorie de menaces jusqu’alors inconnue. Cette présentation a été récompensée par le prix du meilleur article.
Effectuer des tests en situation réelle
Pour aider les organisations à atténuer de manière proactive cette menace inédite, Keysight a intégré l’exploit de canal secret TLS dans la dernière mise à jour ATI de ses solutions de test de sécurité et d’application réseau. Ce qui permet de :
- Émuler l’exploit TLS dans un environnement de laboratoire contrôlé
- Valider si les défenses peuvent détecter et bloquer l’attaque
- Mesurer l’impact des stratégies d’atténuation sur les performances, avant de les déployer en production
