https

Valoriser le S dans HTTPS

Sans chiffrement, vous ne pourriez pas effectuer d’achats ou de transactions bancaires en ligne ou même de téléchargements et de mises à jour sur Internet sans prendre des risques considérables. Saviez-vous que vous utilisiez déjà le chiffrement dans votre navigateur sans même vous en rendre compte ? La petite icône de verrou dans la barre d’adresses vous indique que le chiffrement est activé. De nombreux sites comme les boutiques et les banques, le prennent en charge. Le chiffrement n’est pas fait pour vous embêter, loin de là.

En chiffrant la communication entre votre navigateur et le serveur, vous en retirez trois avantages importants :

Authentification

Le serveur (la page de votre banque par exemple) « montre son passeport » au navigateur qui le vérifie alors. Vous ne remarquerez ce processus qu’en cas d’échec de la vérification. Cela arrive en général lorsque le propriétaire du site oublie d’actualiser le certificat (ceux-ci doivent être actualisés toutes les 2-3 semaines ou années). Vous avez sûrement déjà vu l’une de ces notifications provenant de votre navigateur, qui rejetait un certificat comme non valide. Peu de temps après, le propriétaire du site en question a sûrement dû obtenir un nouveau certificat pour résoudre ce problème. Sans la certification du partenaire de transaction, personne ne pourrait faire d’achats ni de transactions bancaires sécurisés en ligne.

Confidentialité

La confidentialité empêche d’autres personnes de lire les paquets de données qui circulent entre votre navigateur et le serveur. Ceux-ci comprennent les identifiants bancaires comme les numéros de carte de crédit, les mots de passe, les noms d’utilisateur…

Vous n’avez probablement pas envie que quelqu’un puisse lire ces données. Sans confidentialité, il est impossible de faire des achats en ligne en toute sécurité.

Intégrité

Des outils existent pour modifier les paquets du réseau comme bon vous semble. Ce sont des outils puissants destinés aux administrateurs ou des outils scientifiques qui sont utilisés de manière légitime dans plusieurs domaines. Mais avec ces mêmes outils, un attaquant connecté sur le même réseau que vous pourrait modifier les données que vous envoyez. C’est une opération très simple si vous êtes situé sur le même segment de réseau (connecté au même commutateur ou point d’accès WiFi) et on peut également y arriver en détournant le trafic (attaques de changement de DNS ou BGP) du réseau tout entier.

Sans l’intégrité du réseau, il est impossible de faire des achats en ligne en toute sécurité.

L’https : une solution miraculeuse ?

Le chiffrement (comme le chiffrement httpS) offre toutes ces fonctionnalités. Si le chiffrement était interdit, Internet ne serait plus considéré comme un environnement ni un marché sécurisé.

Pour pouvoir communiquer avec le serveur de manière chiffrée, celui-ci doit prendre en charge le chiffrement. Cela passe par l’obtention d’un certificat, le changement du fichier de configuration et le test de la page complète. Cette tâche peut prendre quelques minutes ou plusieurs semaines, en fonction de la complexité de la page. En général, ce sont les administrateurs du serveur et les webdesigners qui s’en chargent. Les boutiques et banques en ligne devraient avoir effectué cette migration il y a déjà quelques années.

Mais pour établir un canal chiffré, il doit y avoir un accord entre le serveur et le navigateur. Ceci peut être obtenu de trois façons :

  • L’administrateur du serveur effectue une redirection 302 et transfère tout le trafic non chiffré vers le canal chiffré
  • Ou le webdesigner modifie tous les liens de la page pour qu’ils passent de http://site.fr à https://site.fr
  • Ou enfin l’utilisateur saisit directement https:// dans la barre de l’URL pour exiger le chiffrement

Dans ces trois cas, le facteur humain est nécessaire. Mais l’erreur est humaine. L’extension HTTPS-Everywhere de l’EFF (intégrée dans notre navigateur) possède une base de données des serveurs qui prennent en charge le chiffrement. Pour chaque page contenue dans sa base de données, elle remplace le http:// par https://. C’est un seul caractère qui peut vous apporter beaucoup.

Ceci est vrai particulièrement pour les réseaux auxquels vous ne pouvez pas faire confiance (souvenez-vous : les attaques sont plus faciles lorsque vous êtes sur le même segment de réseau) et par conséquent c’est essentiel pour garantir la sécurité de vos données. Parmi les réseaux non sécurisés on peut citer les WiFi ouverts, les WiFi publics, les réseaux des hôtels, etc. Et alors dans ce cas, pourquoi pas tous les réseaux ?

Nous n’en sommes pas encore là

C’est regrettable, mais HTTPS Everywhere n’est pas parfait (du moins pas encore). Des attaques plus sophistiquées peuvent encore aboutir (SSLStrip, Superfish). Mais voilà le plus gros problème :

Tous les serveurs ne prennent pas en charge le HTTPS

L’EFF est actuellement en train de concevoir un outil pour simplifier l’installation des serveurs (appelé « Let’s encrypt »). Mais même avec cet outil, tous les serveurs ne feront pas la migration.

Nous étudions actuellement une autre technologie qui s’intègre très bien avec le HTTPS-everywhere. Vos données seraient ainsi chiffrées dans votre réseau WiFi, peu importe le site.

En bref :
Les réseaux chiffrés devraient être la norme. Nous(*) nous en rapprochons.

* Les ingénieurs à l’origine de l’Internet.

Cet article est également disponible en: AnglaisAllemandItalien

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser