in

5 problèmes graves de sécurité HTTPS et SSL sur le Web

HTTPS, qui utilise SSL, fournit la vérification d’identité et la sécurité, de sorte que vous savez que vous êtes connecté au bon site Web et que personne ne peut vous écouter. C’est la théorie, de toute façon. En pratique, SSL sur le Web est une sorte de gâchis.

Cela ne signifie pas que les cryptages HTTPS et SSL sont sans valeur, car ils sont certainement bien meilleurs que l’utilisation de connexions HTTP non cryptées. Même dans le pire des cas, une connexion HTTPS compromise ne sera pas aussi sécurisée qu’une connexion HTTP.

Le nombre absolu d’autorités de certification

Votre navigateur dispose d’une liste intégrée d’autorités de certification de confiance. Les navigateurs ne font confiance qu’aux certificats émis par ces autorités de certification. Si vous visitez https://example.com, le serveur Web de example.com vous présentera un certificat SSL et votre navigateur vérifiera pour s’assurer que le certificat SSL du site Web a été émis par exemple.com par une autorité de certification de confiance. Si le certificat a été émis pour un autre domaine ou s’il n’a pas été émis par une autorité de certification de confiance, vous verrez un avertissement sérieux dans votre navigateur.

Un problème majeur est qu’il y a tellement d’autorités de certification, donc les problèmes avec une autorité de certification peuvent affecter tout le monde. Par exemple, vous pouvez obtenir un certificat SSL pour votre domaine auprès de VeriSign, mais quelqu’un pourrait compromettre ou tromper une autre autorité de certification et obtenir également un certificat pour votre domaine.

Autorités de certification racine de confiance

Les autorités de certification n’ont pas toujours inspiré la confiance

Des études ont montré que certaines autorités de certification n’ont même pas fait preuve de diligence raisonnable lors de la délivrance des certificats. Ils ont émis des certificats SSL pour des types d’adresses qui ne devraient jamais nécessiter de certificat, comme «localhost», qui représente toujours l’ordinateur local. En 2011, le FEP a trouvé plus de 2000 certificats pour «localhost» émis par des autorités de certification légitimes et de confiance.

Si les autorités de certification de confiance ont émis autant de certificats sans vérifier que les adresses sont même valides en premier lieu, il est naturel de se demander quelles autres erreurs elles ont commises. Peut-être ont-ils également émis des certificats non autorisés pour les sites Web d’autres personnes à des attaquants.

Les certificats Extended Validation, ou certificats EV, tentent de résoudre ce problème. Nous avons couvert les problèmes avec les certificats SSL et la façon dont les certificats EV tentent de les résoudre.

Les autorités de certification pourraient être contraintes de délivrer de faux certificats

Parce qu’il y a tellement d’autorités de certification, qu’elles sont partout dans le monde, et que n’importe quelle autorité de certification peut émettre un certificat pour n’importe quel site Web, les gouvernements pourraient obliger les autorités de certification à leur délivrer un certificat SSL pour un site qu’ils souhaitent emprunter.

Cela s’est probablement produit récemment en France, où Google a découvert un certificat non conforme pour google.com avait été émis par l’autorité de certification française ANSSI. L’autorité aurait permis au gouvernement français ou à quiconque le détenait de se faire passer pour le site Web de Google, en effectuant facilement des attaques de type «man-in-the-middle». L’ANSSI a affirmé que le certificat n’était utilisé que sur un réseau privé pour espionner les propres utilisateurs du réseau, et non par le gouvernement français. Même si cela était vrai, ce serait une violation des propres politiques de l’ANSSI lors de l’émission de certificats.

certificat-google-anssi-rogue-france

Perfect Forward Secrecy n’est pas utilisé partout

De nombreux sites n’utilisent pas le «secret de transmission parfait», une technique qui rendrait le cryptage plus difficile à déchiffrer. Sans un secret de transmission parfait, un attaquant pourrait capturer une grande quantité de données cryptées et tout décrypter avec une seule clé secrète. Nous savons que la NSA et d’autres agences de sécurité d’État du monde entier capturent ces données. S’ils découvrent la clé de chiffrement utilisée par un site Web des années plus tard, ils peuvent l’utiliser pour déchiffrer toutes les données chiffrées qu’ils ont collectées entre ce site Web et toutes les personnes qui y sont connectées.

Le secret de transmission parfait permet de se protéger contre cela en générant une clé unique pour chaque session. En d’autres termes, chaque session est cryptée avec une clé secrète différente, de sorte qu’elles ne peuvent pas toutes être déverrouillées avec une seule clé. Cela empêche quelqu’un de déchiffrer une énorme quantité de données cryptées à la fois. Étant donné que très peu de sites Web utilisent cette fonctionnalité de sécurité, il est plus probable que les agences de sécurité d’État puissent déchiffrer toutes ces données à l’avenir.

Attaques de l’homme au milieu et personnages Unicode

Malheureusement, les attaques man-in-the-middle sont toujours possibles avec SSL. En théorie, il devrait être sûr de se connecter à un réseau Wi-Fi public et d’accéder au site de votre banque. Vous savez que la connexion est sécurisée car elle est via HTTPS, et la connexion HTTPS vous aide également à vérifier que vous êtes réellement connecté à votre banque.

En pratique, il peut être dangereux de se connecter au site Web de votre banque sur un réseau Wi-Fi public. Il existe des solutions standard qui permettent à un hotspot malveillant d’effectuer des attaques de type « man-in-the-middle » contre les personnes qui s’y connectent. Par exemple, un point d’accès Wi-Fi peut se connecter à la banque en votre nom, en envoyant des données dans les deux sens et assis au milieu. Il pourrait vous rediriger sournoisement vers une page HTTP et vous connecter à la banque avec HTTPS en votre nom.

Il peut également utiliser une « adresse HTTPS similaire à un homographe ». Il s’agit d’une adresse qui semble identique à celle de votre banque à l’écran, mais qui utilise en fait des caractères Unicode spéciaux, donc elle est différente. Ce dernier type d’attaque, le plus effrayant, est connu sous le nom d’attaque homographe de nom de domaine internationalisé. Examinez le jeu de caractères Unicode et vous trouverez des caractères qui semblent fondamentalement identiques aux 26 caractères utilisés dans l’alphabet latin. Peut-être que les o de google.com auxquels vous êtes connecté ne sont pas réellement des o, mais sont d’autres personnages.

Nous avons couvert cela plus en détail lorsque nous avons examiné les dangers liés à l’utilisation d’un point d’accès Wi-Fi public.

attaque-homographe-idn

Bien sûr, HTTPS fonctionne bien la plupart du temps. Il est peu probable que vous rencontriez une attaque d’intermédiaire aussi intelligente lorsque vous visitez un café et que vous vous connectez à leur Wi-Fi. Le vrai point est que HTTPS a de sérieux problèmes. La plupart des gens lui font confiance et ne sont pas conscients de ces problèmes, mais c’est loin d’être parfait.

Crédit d’image: Sarah Joy

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Où devrais-je vendre mes affaires? eBay contre Craigslist contre Amazon

Le guide complet de création de liens symboliques (aka liens symboliques) sous Windows

Le guide complet de création de liens symboliques (aka liens symboliques) sous Windows