Menaces sous-estimées sur le World Wide Web – Sécurité informatique – LANline – Bien Etre


Suite de l'article par

Partie 1
.


Nouvelles procédures de sécurité

Au cours des dernières années, des mécanismes supplémentaires ont été mis au point pour renforcer davantage le trafic Internet crypté, même si tous n'ont pas pris de l'ampleur. L'épinglage par clé publique HTTP a été introduit comme méthode, en particulier pour empêcher les attaques MitM. Le navigateur doit recevoir la notification qu'un certificat SSL de la chaîne de certificats est digne de confiance. «L'extension du protocole HTTP permet de définir des jeux de clés publiques pour les futures connexions chiffrées vers certains hôtes. Un client qui accède à un serveur ne sait pas quelle clé publique de l'hôte est digne de confiance tant qu'il n'est pas contacté », explique Tulinska. Cependant, elle critique le fait que la procédure ne peut pas protéger la première visite impliquant le transfert des clés publiques. "Un niveau élevé de complexité dans la configuration, qui peut même conduire à un verrouillage à long terme des utilisateurs, ainsi qu'une faible prévalence sont d'autres problèmes de la méthode." Pour cette raison, Google a mis fin à la prise en charge de HPKP avec la version 72 de Chrome, ainsi que d'autres navigateurs modernes ne prennent plus en charge la procédure.

Une autre mesure pour rendre le cryptage plus sécurisé vient de Google lui-même et s'appelle Certificate Transparency (CT). En termes simples, les certificats émis par les autorités de certification (CA) doivent être enregistrés, contrôlés et surveillés. Si les autorités de certification ne parviennent pas à délivrer des certificats conformément à l'IETF-RFC 6962, Chrome affichera un avertissement CT correspondant lors de la visite d'un tel site Web. «Le CT peut être comparé à un journal public dans lequel les organismes de certification doivent enregistrer leurs activités. Sécurisées cryptographiquement, ces entrées ne peuvent plus être modifiées rétrospectivement. De cette manière, il devrait être possible de détecter les abus de certificats »; explique Tulinska.

En étendant HTTP pour inclure la sécurité de transport stricte, connue sous le nom de HSTS, les navigateurs ne devraient accéder qu'aux connexions sécurisées, c'est-à-dire cryptées, pendant une certaine période de temps. Cela signifie que le cryptage HTTPS est forcé au début d'une connexion, de sorte que le risque d'attaques MitM est réduit. HSTS a réussi à s'imposer: outre Facebook, Google, Twitter et PayPal utilisent également cette extension.

Cependant, il y a un problème avec la protection des données: pour que le navigateur de l'utilisateur puisse se souvenir sur quels sites HSTS est utilisé, les entrées similaires aux cookies sont stockées dans les bases de données du navigateur. En raison de la fonction de protection du HSTS, les enregistrements HSTS sont également activés en mode privé afin qu'ils puissent être vérifiés par les sites visités. «C'est exactement là que réside le danger, car cela fait du HSTS une méthode efficace de suivi des utilisateurs. Les entrées HSTS peuvent donc être décrites comme des soi-disant super cookies », explique Tulinska. Cependant, elle rassure: "Il existe des mesures qui empêchent le suivi, mais ne réduisent pas l'effet protecteur du HSTS." Par exemple, l'implémentation HSTS dans WebKit, qui est utilisée dans le navigateur Safari d'Apple, comporte deux restrictions. WebKit a limité l'utilisation de HSTS au nom d'hôte actuel ou au domaine de niveau supérieur au lieu d'utiliser HSTS sur chaque sous-domaine: si WebKit bloque déjà les cookies tiers sur les domaines, l'état HSTS des demandes de sous-ressources est également ignoré.

De plus amples informations sont disponibles sur https://www.psw-group.de/blog/absichern-des-https-protokolls/7748.


1.

Menaces sous-estimées sur le World Wide Web

2. Nouvelles procédures de sécurité


Partager sur FacebookPartager sur TwitterPartager sur LinkedinPartager par e-mail

Articles Liés

PSW GROUP GmbH & Co. KG