Page d'accueil » comment » 5 problèmes graves liés à la sécurité HTTPS et SSL sur le Web

    5 problèmes graves liés à la sécurité HTTPS et SSL sur le Web

    HTTPS, qui utilise SSL, assure la vérification de l'identité et la sécurité. Vous savez donc que vous êtes connecté au bon site Web et que personne ne peut vous écouter. C'est la théorie, de toute façon. En pratique, SSL sur le Web est un peu un fouillis.

    Cela ne veut pas dire que les cryptages HTTPS et SSL ne servent à rien, car ils sont nettement meilleurs que l'utilisation de connexions HTTP non cryptées. Même dans le pire des cas, une connexion HTTPS compromise ne sera aussi sécurisée qu'une connexion HTTP..

    Le grand nombre d'autorités de certification

    Votre navigateur contient une liste intégrée d'autorités de certification de confiance. Les navigateurs ne font confiance qu'aux certificats émis par ces autorités de certification. Si vous avez visité https://example.com, le serveur Web de example.com vous présentera un certificat SSL et votre navigateur vérifiera que le certificat SSL du site Web a bien été émis pour example.com par une autorité de certification de confiance. Si le certificat a été émis pour un autre domaine ou s'il n'a pas été émis par une autorité de certification de confiance, un avertissement grave apparaît dans votre navigateur..

    L’un des principaux problèmes est qu’il existe un très grand nombre d’autorités de certification, de sorte que les problèmes liés à une autorité de certification peuvent affecter tout le monde. Par exemple, vous pouvez obtenir un certificat SSL pour votre domaine de VeriSign, mais une personne peut compromettre ou tromper une autre autorité de certification et obtenir également un certificat pour votre domaine.

    Les autorités de certification n'ont pas toujours inspiré confiance

    Des études ont montré que certaines autorités de certification n’avaient pas fait preuve de la même diligence raisonnable lors de la délivrance des certificats. Ils ont émis des certificats SSL pour des types d'adresses qui ne devraient jamais nécessiter de certificat, tel que «localhost», qui représente toujours l'ordinateur local. En 2011, l'EFF a trouvé plus de 2000 certificats pour «localhost» émis par des autorités de certification légitimes et de confiance..

    Si les autorités de certification de confiance ont délivré autant de certificats sans vérifier que les adresses sont même valides, il est naturel de se demander quelles autres erreurs elles ont commises. Peut-être ont-ils également émis des certificats non autorisés pour les sites Web d'autres personnes à des attaquants.

    Les certificats de validation étendue, ou certificats EV, tentent de résoudre ce problème. Nous avons traité les problèmes liés aux certificats SSL et à la façon dont les certificats EV tentent de les résoudre..

    Les autorités de certification pourraient être obligées d'émettre de faux certificats

    Comme il existe un grand nombre d'autorités de certification réparties dans le monde entier et que toute autorité de certification peut émettre un certificat pour n'importe quel site Web, les gouvernements peuvent obliger les autorités de certification à lui émettre un certificat SSL pour un site qu'ils veulent imiter..

    Cela s'est probablement produit récemment en France, où Google a découvert qu'un certificat non autorisé pour google.com avait été délivré par l'autorité de certification française ANSSI. L'autorité aurait permis au gouvernement français ou à qui que ce soit d'autre de se faire passer pour le site Web de Google, effectuant facilement des attaques de type "man-in-the-middle". L’ANSSI a affirmé que le certificat n’était utilisé que sur un réseau privé pour espionner les utilisateurs du réseau, et non par le gouvernement français. Même si cela était vrai, ce serait une violation des propres politiques de l'ANSSI lors de la délivrance de certificats.

    Le secret parfait vers l'avant n'est pas utilisé partout

    De nombreux sites n'utilisent pas le «secret de transmission parfait», une technique qui rendrait le cryptage plus difficile à déchiffrer. Sans secret parfait, un attaquant pourrait capturer une grande quantité de données cryptées et les décrypter avec une seule clé secrète. Nous savons que la NSA et d’autres agences de sécurité d’État du monde entier saisissent ces données. S'ils découvrent la clé de cryptage utilisée par un site Web des années plus tard, ils peuvent l'utiliser pour décrypter toutes les données cryptées qu'ils ont collectées entre ce site Web et toutes les personnes qui y sont connectées..

    Le secret de transfert parfait aide à protéger contre cela en générant une clé unique pour chaque session. En d'autres termes, chaque session est cryptée avec une clé secrète différente, de sorte qu'elles ne peuvent pas toutes être déverrouillées avec une seule clé. Cela empêche quelqu'un de décrypter une énorme quantité de données cryptées en une seule fois. Étant donné que très peu de sites Web utilisent cette fonctionnalité de sécurité, il est plus probable que les agences de sécurité des États puissent décrypter toutes ces données à l'avenir..

    Homme au milieu des attaques et des personnages Unicode

    Malheureusement, les attaques man-in-the-middle sont toujours possibles avec SSL. En théorie, vous devriez pouvoir vous connecter à un réseau Wi-Fi public et accéder au site de votre banque. Vous savez que la connexion est sécurisée parce qu'elle est via HTTPS. La connexion HTTPS vous aide également à vérifier que vous êtes réellement connecté à votre banque..

    Dans la pratique, il peut être dangereux de se connecter au site Web de votre banque sur un réseau Wi-Fi public. Il existe des solutions prêtes à l'emploi qui peuvent avoir un hotspot malveillant pour mener des attaques man-in-the-middle sur les personnes qui s'y connectent. Par exemple, un point d'accès Wi-Fi peut se connecter à la banque en votre nom, envoyer des données en arrière et être assis au milieu. Il pourrait vous rediriger discrètement vers une page HTTP et se connecter à la banque avec HTTPS en votre nom..

    Il pourrait également utiliser une «adresse HTTPS similaire à un homographe». Il s’agit d’une adresse identique à celle de votre banque à l’écran, mais qui utilise des caractères Unicode spéciaux, ce qui la rend différente. Ce dernier type d’attaque, le plus effrayant, est connu sous le nom d’attaque par homographe de nom de domaine internationalisée. Examinez le jeu de caractères Unicode et vous découvrirez des caractères identiques aux 26 caractères utilisés dans l'alphabet latin. Peut-être que les o dans le site google.com auquel vous êtes connecté ne sont pas réellement des o, mais sont des personnages.

    Nous avons couvert cette question plus en détail lorsque nous avons examiné les dangers liés à l'utilisation d'un point d'accès public Wi-Fi.


    Bien sûr, HTTPS fonctionne bien la plupart du temps. Il est peu probable que vous rencontriez une attaque aussi intelligente de la part d'un homme au milieu lorsque vous vous rendrez dans un café et que vous vous connecterez à son réseau Wi-Fi. Le vrai problème est que HTTPS pose de sérieux problèmes. La plupart des gens y font confiance et ne sont pas conscients de ces problèmes, mais c'est loin d'être parfait.

    Crédit d'image: Sarah Joy