Simple combinaison de HTTP avec une couche de chiffrement SSL/TLS, le protocole HTTPS a longtemps été le symbole d’une sécurité efficace pour les échanges entre les utilisateurs et les sites web. Pourtant, 2011 est déjà considérée par beaucoup comme une année noire au regard des incidents qui ont semé le doute sur l’avenir de ce protocole.
la faute aux navigateurs
Mais où est passé le cadena ? Première entorse aux règles martelées au grand public et aux utilisateurs en entreprises : les modifications de comportement des navigateurs.
Dès la version 3 de Firefox par exemple, le système de notification du niveau de sécurité d’un site web (présence de chiffrement ou pas) a été remanié de manière conséquente (des petits malins utilisant un cadenas en guise d’icône « favicon.ico » pour tromper l’ennemi). Voici quelques exemples de pictogrammes utilisés par Firefox pour des sites utilisant le protocole HTTPS :
Si vous n’êtes pas en mesure de comprendre la différence, je vous invite à lire l’article «Firefox 3: Site Identification button » qui détaille les différents messages.
la faute aux sites web
Malgré les risques de vol de données entre un utilisateur et un site web, risques en nette augmentation avec l’avènement des bornes Wifi et des Smartphones, les sites web ne se soumettent pas encore tous au « HTTPS only », « l’homme du milieu » veille pourtant.
Les sites marchands revendiquent tous des « accès sécurisés », et pourtant, bon nombre d’entre eux ne l’implémentent que lors des phases de transaction marchande (accès à son espace client, paiement en ligne).
Les réseaux sociaux et autres gros acteurs du marché ont pour la plupart attendus ces derniers mois pour forcer les connexions en HTTPS :
- Mai 2010 : Google passe au SSL
- Janvier 2011 : Activation possible du SSL sur Facebook
- Mars 2011 : Twitter passe au SSL
la faute aux tiers de confiance
Le principe des certificats, outre les mécanismes de chiffrement asymétrique, repose intégralement sur des chaines de confiance gérées par des autorités de certification. Lorsque votre navigateur souhaite s’assurer que le site web que vous visitez possède bien un certificat SSL valide, il se base sur les données des autorités de certification, qui font office de tiers de confiance.
Là encore, 2011 ne fut pas de tout repos. Les récentes affaires de piratage de bureaux de certification qui ont touché Comodo et Diginotar ont considérablement ébranlé l’indice de confiance de ces derniers.
la faute aux utilisateurs
Comme indiqué plus haut, les professionnels concernés font des efforts, mais les utilisateurs sont eux aussi à la traine… Ceux qui ne sont pas encore passé à Windows Vista et IE7 ne bénéficient pas forcément par défaut de l’utilisation des CRL (Certificate Revocation List), listes publiques des certificats émis ou révoqués.
Il parait même que des millions d’internautes n’ont pas encore adopté le plugin «Convergence » pour Firefox, développé par Moxie Marlinspike, qui instaure un mécanisme de validation des certificats via des notaires choisi par l’utilisateur.
la faute aux pirates
Cerise sur le gâteau, le groupe de hackers allemands THC a mis au point un outil nomméTHC-SSL-DOS capable de mettre à genoux un site web utilisant HTTPS, et ce depuis une vulgaire connexion ADSL. Le secret de l’outil : exploiter le fait qu’une négociation SSL demande beaucoup plus de ressources au serveur qu’au client (facteur 15:1) et s’amuser à redemander une négociation plusieurs milliers de fois à un serveur.
il est temps d'innover
Comme on l’entend parfois en allant faire son marché le dimanche : « mais où va-t-on mon pauvre monsieur ? De mon temps, les gens n’étaient pas si méchants ! ».
Les codes ne sont pas éternels, celui du manuscrit Copiale, datant du 18ème siècle, ayant étéenfin déchiffré, mais cela ne doit pas freiner l’ardeur des spécialistes du chiffrement et de la sécurité pour mettre au point les techniques qui seront l’avenir du HTTPS.
A vos claviers, les propositions les plus intéressantes se verront récompenser par leur publication sur le blog.
copyright image: © Joerg Habermeier fotolia.com
Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.