Microsoft a apporté une mise à jour à son navigateur Internet Explorer pour améliorerai sa sécurité grâce à la prise en charge de HTTP Strict Transport Security (HSTS).
La norme HSTS est un mécanisme de sécurité visant à combler une attaque contre TLS. Concrètement, HTTP Strict permet à un site sécurisé de déclarer qu’il n’est accessible qu’en HTTPS (en utilisant l’entête Strict-Transport-Security). Dès lors qu’un utilisateur a visité le site, si celui-ci au cours de ses prochaines navigations se fait tromper par un pirate qui a réussi à le faire se connecter en HTTP, le navigateur se souviendra de la déclaration et ne permettra pas la connexion non sécurisée, car une redirection automatique sera effectuée vers le site sécurisé. Le navigateur bloque également la connexion s’il se rend compte que le certificat de chiffrement utilisé n’est pas valide
Microsoft avait introduit ce mécanisme dans Internet Explorer 11 depuis février dernier. Cependant, il était disponible uniquement pour la préversion de Windows 10. Avec la mise à jour mensuelle de ce mois (Patch Tuesday), Microsoft a étendu le mécanisme à Internet Explorer 11 sur Windows 7 et Windows 8.1.
HSTS est également implémenté dans le nouveau navigateur Microsoft Edge, qui est disponible uniquement avec Windows 10.
Internet Explorer 11 et Edge utilisent une liste de sites Web implémentant HTTPS pour effectuer un contrôle par défaut. La liste est maintenue par Chrome et elle est également utilisée par les navigateurs Firefox et Chrome.
Les développeurs qui veulent profiter de cette politique doivent se rassurer que l’accès à l’ensemble des pages de leur site Web se fait uniquement en HTTPS, avant de proposer leur site via le formulaire mis à leur disposition par Chrome.
En dehors de cette nouveauté, le Patch Tuesday de juin corrige également 24 failles de sécurité dans toutes les versions d’Internet Explorer encore supportées sous Windows Vista, 7, 8, 8.1 et RT, ainsi que Windows Server 2003, 2008, 2008 R2, 2012 et 2012 R2. Les failles peuvent permettre l’exécution du code à distance.
Le Patch Tuesday est déployé sur les ordinaires sous Windows, via la fonction de mises à jour Windows Update de Microsoft.
Source : Microsoft
Et vous ?
Pensez-vous que tous les navigateurs devraient implémenter HSTS ?
HTTPS : Microsoft renforce la sécurité d'Internet Explorer 11
Avec le support de HSTS pour les sites sécurisés
HTTPS : Microsoft renforce la sécurité d'Internet Explorer 11
Avec le support de HSTS pour les sites sécurisés
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !