Un meilleur job mieux payé ?

Deviens chef de projet, développeur, ingénieur, informaticien

Mets à jour ton profil pro

ça m'intéresse

Doit-on chiffrer le Web en entier ?
Des experts se prononcent sur l'utilisation du protocole HTTPS

Le , par Francis Walter, Expert éminent sénior
Quel protocole utilisez-vous pour vos sites ?
Le récent bogue Heartbleed a remis en cause la sécurité d’Internet. Bien avant la découverte du bogue, la communauté réfléchissait déjà sur un renforcement de la sécurité d’Internet. Plusieurs experts en sécurité et du web se sont prononcés à propos de la sécurité sur Internet. On se demande désormais s’il ne faut pas chiffrer Internet dans son entièreté.

Il y a seulement quelques jours, Matt Cutts, chargé de la lutte antispam chez Google, a annoncé que Google envisage de stimuler la recherche des sites utilisant des algorithmes de chiffrement de données, une décision qui pourrait contraindre la plupart des sites à chiffrer leurs données. Cela pourrait réduire les espionnages faits par les gouvernements au moyen d’Internet, limiter les vols de données avec un trafic sécurisé, etc.

Le protocole HTTPS a été créé pour protéger les informations de connexion à un site telles que les mots de passe, de même que celles de carte de crédit. Nombreux sont ces sites qui utilisent ce protocole, mais dans la réalité, seuls quelques-uns tels que Facebook et Gmail l’utilisent vraiment pour protéger leur trafic sur Internet. Le protocole HTTPS permet de chiffrer les données de telle sorte que seuls le serveur et l’ordinateur de l’utilisateur parviennent à comprendre les messages échangés lors de la communication.

En effet, l’utilisation du protocole HTTPS stipule que soit le protocole SSL ou soit TLS est employé pour sécuriser le trafic réseau. Certes, les protocoles SSL/TLS possèdent de nombreuses failles. Moxie Marlinspike, un ancien ingénieur chez Twitter, avait eu à démontrer plusieurs bogues sur lesdits protocoles. Toutefois, il stipule qu’il est toujours mieux d’utiliser le HTTPS car « il y a de la valeur à rendre le trafic réseau aussi opaque que possible, même le contenu statique ». En outre, il aurait aimé que le texte brut sur Internet soit aussi chiffré.

Rappelons qu’Edward Snowden, ex-analyste de la NSA, a recommandé que les données sur Internet soient chiffrées de bout en bout. Sa proposition a été appuyée par Tim Berners-Lee, le père du web. Snowden explique que ce genre de chiffrement limiterait les espionnages de masse faits par les gouvernements. Eric Butler, un développeur de logiciels, confirme l’affirmation de Snowden. Selon Butler, il est beaucoup plus facile aux gouvernements ou aux criminels d’espionner ce que font les utilisateurs sur Internet lorsque c’est le protocole HTTP qui est utilisé.

Non seulement le HTTPS chiffre les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue, une vérification que le HTTP ne pourrait faire. « Toute sorte d’attaques qui vise à inciter la victime à se connecter au serveur du pirate à la place du serveur réel est stoppée par le HTTPS », a écrit Micah Lee, un technologue de The Intercept. Il ajoute aussi que les éditeurs de logiciels doivent impérativement utiliser le protocole HTTPS sur leur site de téléchargement sans quoi, ils mettent la vie de leurs utilisateurs en danger.

Le protocole HTTPS possède de nombreux atouts pour la sécurité du trafic sur Internet. Cependant, il est encore très peu utilisé par les sites web. L’une des principales raisons du faible taux d’utilisation serait le coût élevé des certificats TLS, avait affirmé Yves Lafon, un expert en HTTPS du Consortium World Wide Web (WWW). En fonction du niveau de sécurité désiré et du type de certificat, le coût varie entre 10 et 1000 dollars l’année. Une seconde raison serait le fait que le HTTPS augmente la consommation en ressources et serait capable de ralentir la vitesse d’échange de données des sites.

Par ailleurs, les petits sites utilisant des hébergements mutualisés pas chers ainsi que les sites utilisant des réseaux de distribution de contenus (CND) seraient confrontés à des difficultés lors de la mise en place d’un certificat unique ou lors de l’application du protocole SSL.

Pour une meilleure utilisation d’Internet, pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait le moyen idéal. Les sites ne devraient donc pas tardé à l’adopter afin d’espérer d’avoir un Internet sans espionnage et sans inquiétude.

Source : Wired

Et vous ?

Quel protocole utilisez-vous ? Pourquoi ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de xavierss xavierss - Membre à l'essai http://www.developpez.com
le 21/04/2014 à 15:54
Vu le prix d’un certificat ssl, pour les petits sites ou pour les sites qui ne propose pas d’inscription, cela ne me semble pas nécessaire.
Avatar de forthx forthx - Membre confirmé http://www.developpez.com
le 21/04/2014 à 16:43
En entier ? irréaliste !
Un chiffrement plus systématique ? Quel en serait le cout (certificat/matériel/énergétique)?
On inclue l'auto-signature ? Sinon c'est les autorités de certifications qui vont être contentes !

A part pour protéger les utilisateurs de l'espionnage de leur FAI (qui en fait vois passer tout les paquet et peut donc facilement se retrouver en position avantageuse pour une lecture en clair si le protocole de chiffrement est standard) j'ai du mal à voir la pertinence de passer par du https (ou équivalent) pour consulter une page Wikipédia (même si c'est déjà possible ). Il me manque probablement des élément pour comprendre(si vous avez ces élément je ne demande qu'a comprendre), car dans l'immédiat je ne vois pas l'intérêt.

Mon site perso? HTTP fait bien l'affaire !
Avatar de Aéris22 Aéris22 - Membre du Club http://www.developpez.com
le 21/04/2014 à 17:34
Citation Envoyé par forthx  Voir le message
En entier ? irréaliste !

Non, ça se fait sans problème. L'IETF songe carrément à l'intégrer en natif (voir ici).

Un chiffrement plus systématique ? Quel en serait le cout (certificat/matériel/énergétique)?

Le coût est un faux problème.
Le coût des certificats actuels ne sert qu'à financer l'assurance d'un remboursement en cas de défaillance de SSL/TLS sur un site marchand. Aucunement à sécuriser réellement ta communication et encore moins à identifier le site en face, SSL/TLS étant trop faible aujourd'hui à cause du trop gros nombre de Root-CA existantes. Qui fait confiance au gouvernement chinois ou à Microsoft ? Les MITM sont monnaies courantes avec SSL/TLS et d'une facilité déconcertante dès que tu as accès à une Root-CA.
On pourrait imaginer dissocier émission d'un certificat (qui serait alors gratuit ou en tout cas abordable) et assurances (cher).
Et en profiter pour virer toutes ces Root-CA à la con ou en tout cas ne plus leur accorder autant de crédit, et privilégier le trust-on-first-contact pour authentifier un site (ce qui d'ailleurs demanderait à pas mal de prestataires de services de revoir leur infra SSL/TLS toutes moisies basées sur des CDN et whatmille certificats qui fait que chaque requête web ou presque vous présente un nouveau certificat…

A part pour protéger les utilisateurs de l'espionnage de leur FAI (qui en fait vois passer tout les paquet et peut donc facilement se retrouver en position avantageuse pour une lecture en clair si le protocole de chiffrement est standard)

SSL/TLS étant un chiffrement point-à-point, ton FAI n'a absolument pas accès au contenu en clair d'un échange chiffré par SSL/TLS. Même s'il avait accès à l'intégralité des paquets du monde.
Seule l'accès à la clef privée du serveur peut déchiffrer le contenu. Ou une attaque par bruteforce, mais accessible uniquement à des entités gouvernementales type NSA.

j'ai du mal à voir la pertinence de passer par du https (ou équivalent) pour consulter une page Wikipédia (même si c'est déjà possible ). Il me manque probablement des élément pour comprendre(si vous avez ces élément je ne demande qu'a comprendre), car dans l'immédiat je ne vois pas l'intérêt.

Metadata, « anonymisation » du traffic, vie privée…
T'as pas à gueuler en clair à la moitié de la planète « Je viens de consulter la page « Chatons » sur Wikipedia ».

Mon site perso? HTTP fait bien l'affaire !

HTTPS fait encore plus l'affaire
Avatar de kedare kedare - Membre extrêmement actif http://www.developpez.com
le 21/04/2014 à 17:34
On passera tout en HTTPS le jour ou le domaine des PKI ne sera plus dominé par des entreprises capitalistes commerciales qui vous vendent des certificats SSL à prix d'or...

Il y a bien des alternatives comme cacert.org, mais bon, on se doute bien que les "gros" fournisseurs SSL font des chèques aux différents fournisseurs d'OS pour ne pas intégrer les certificats racines d'organisation SSL telle que celle ci
Avatar de Zefling Zefling - Membre émérite http://www.developpez.com
le 21/04/2014 à 18:11
Citation Envoyé par Aéris22  Voir le message
HTTPS fait encore plus l'affaire

J'y passerais, quand les certificats multi domaine coûteront un prix abordable (ex : https://www.gandi.net/ssl/grid ). Je me vois pas foutre le prix de ma location serveur en certificat. Surtout que ça reste du perso...
Avatar de Aéris22 Aéris22 - Membre du Club http://www.developpez.com
le 21/04/2014 à 22:59
Citation Envoyé par Zefling  Voir le message
J'y passerais, quand les certificats multi domaine coûteront un prix abordable (ex : https://www.gandi.net/ssl/grid ). Je me vois pas foutre le prix de ma location serveur en certificat. Surtout que ça reste du perso...

Dans l'ordre de préférence/sécurité/confiance :
0 - Autosigné, c'est bien (trust-on-first-contact, tout ça tout ça…)
1 - CACert, c'est bien aussi (pas de certification à la con, un bon cercle de confiance…)
loin - StartSSL (cert gratos mais pas multidomaine)
trop loin - le reste des root CA

Et dans tous les cas, faire comprendre aux gens qu'il ne faut SURTOUT pas avoir confiance dans les certificats commerciaux.
En terme de sécurité & confiance, un auto-signé possède un degré bien supérieur à tout ce que pourra jamais proposer une CA commerciale.
Faut juste bien faire rentrer dans les mœurs qu'une fingerprint d'un certificat SSL/TLS, c'est pas juste pour faire joli et amuser les geeks…
Avatar de Lupus Michaelis Lupus Michaelis - Membre du Club http://www.developpez.com
le 21/04/2014 à 23:36
Visiblement l'auteur de l'article ne comprend pas de quoi il parle. L'Internet ne se réduit pas au web. Certes, TLS est aussi employé dans d'autres protocoles (SMTPS, IMAPS, etc), mais là il est clairement question de HTTPS, et donc uniquement du Web.

CACert vient d'être retiré de plusieurs OSes libres, parce que cette organisation n'est pas sûre. Ils ont échoués à tous les audits sécurité qu'ils se sont imposés https://lwn.net/Articles/590879/ Il n'y a pas de complot économique visant à le faire disparaître. Le problème des certificats, c'est qu'il faut mettre en place une structure, et payer des gens pour s'en occuper, car c'est largement un boulot à plein temps. Et tant que CACert ne fera pas les choses sérieusement, personne ne pourra les considérer comme fiables.
Avatar de Zefling Zefling - Membre émérite http://www.developpez.com
le 22/04/2014 à 10:12
Citation Envoyé par Aéris22  Voir le message
Dans l'ordre de préférence/sécurité/confiance :
0 - Autosigné, c'est bien (trust-on-first-contact, tout ça tout ça…)
1 - CACert, c'est bien aussi (pas de certification à la con, un bon cercle de confiance…)
loin - StartSSL (cert gratos mais pas multidomaine)
trop loin - le reste des root CA

Et dans tous les cas, faire comprendre aux gens qu'il ne faut SURTOUT pas avoir confiance dans les certificats commerciaux.
En terme de sécurité & confiance, un auto-signé possède un degré bien supérieur à tout ce que pourra jamais proposer une CA commerciale.
Faut juste bien faire rentrer dans les mœurs qu'une fingerprint d'un certificat SSL/TLS, c'est pas juste pour faire joli et amuser les geeks…

Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 22/04/2014 à 10:14
Citation Envoyé par Zefling  Voir le message
Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.

Même réflexion que toi :/
Avatar de SylvainPV SylvainPV - Rédacteur/Modérateur http://www.developpez.com
le 22/04/2014 à 10:36
Citation Envoyé par Aéris22  Voir le message
Metadata, « anonymisation » du traffic, vie privée…
T'as pas à gueuler en clair à la moitié de la planète « Je viens de consulter la page « Chatons » sur Wikipedia ».

Tu peux m'expliquer pourquoi la moitié de la planète surveillerait mes requêtes HTTP ?

C'est bien beau de vouloir mettre du HTTPS partout, comme on voudrait teinter les vitres de toutes les voitures. Ne pas oublier que dans la majorité des cas, les problèmes de confidentialité et de vol de données proviennent d'une erreur humaine. Appelez ça "social hacking" ou piège à cons, c'est encore ce qu'il y a de plus simple et efficace.
Offres d'emploi IT
Chef de Projet mise en production h/f
Sogeti - Régions - Ouest - Pays de la Loire - Nantes (44000)
Développeur .net H/F
SEPTEO - Midi Pyrénées - proximité Toulouse
CDD Expert Editique H/F
BNP Paribas Personal Finance - Ile de France - Levallois Perret

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil