Google renforce sa sécurité HTTPS - Actualités RT Sécurité

Google renforce sa sécurité HTTPS

le 24/11/2011, par Maryse Gros / IDG News Service, Sécurité, 488 mots

Les services de Google sécurisés en mode HTTPS utilisent désormais une technique de chiffrement différente pour se prémunir des attaques à venir qui pourraient rétrospectivement venir déchiffrer l'actuel trafic.

Google renforce sa sécurité HTTPS

Google prend les devants. Il a modifié la méthode de chiffrement utilisée par ses services https, parmi lesquels se trouvent la messagerie Gmail, le traitement de texte en ligne Docs et le réseau social Google+, lancé fin juin. Le but est d'empêcher que le trafic qui transite actuellement sur ces services puisse être déchiffrés ultérieurement lorsque des avancées technologiques rendront cette manipulation possible.

Aujourd'hui, la majorité des services mettant en oeuvre https se servent d'une clé privée, connue seulement du propriétaire du domaine, pour générer des clés de session qui sont ensuite utilisées pour chiffrer le trafic entre les serveurs et leurs clients. Cette approche expose potentiellement les connexions en cas d'attaques ultérieures. « Dans dix ans, quand les ordinateurs seront beaucoup plus rapides, un adversaire pourrait casser la clé privée du serveur et rétrospectivement déchiffrer le trafic e-mail envoyé aujourd'hui », explique Adam Langley, l'un des membres de l'équipe de sécurité de Google, sur un blog officiel.

forward secrecy à l'oeuvre


Pour prévenir ce risque, assez faible mais néanmoins réel, Google permet d'utiliser par défaut la propriété de codage forward secrecy (ou PFS, perfect forward secrecy), qui implique de recourir à différentes clés privés pour chiffrer des sessions et de les détruire après un certain temps. De cette façon, un attaquant qui a réussi à casser ou à voler une seule clé ne sera pas en mesure de récupérer suffisamment de trafic e-mail sur une période couvrant plusieurs mois d'activité, indique Adam Langley. Il fait remarquer que même l'administrateur serveur ne pourra pas déchiffrer le trafic HTTPS rétroactivement.

Puisque SSL n'était pas conçu pour supporter des mécanismes d'échange de clé capable de mettre en oeuvre par défaut la propriété forward secrecy, les ingénieurs de Google ont dû mettre au point une extension pour la boîte à outils OpenSSL. C'est intégré à la version 1.0.1 d'OpenSSL qui n'a pas encore été publiée dans une version stable.

Supporté seulement par Firefox et Chrome


La nouvelle mise en oeuvre de Google HTTPS utilise ECHDHE_RSA comme clé d'échange et l'algorithme RC4_128 pour le chiffrement. Malheureusement, cette combinaison n'est supportée que dans les navigateurs Firefox et Chrome pour le moment, ce qui signifie que les connexions HTTPS sur Internet Explorer ne profiteront pas de cette fonction complémentaire de sécurité.

Ce n'est pas nécessairement un problème avec IE qui supporte en revanche la combinaison clé d'échange EDH (Ephemeral Diffie--Hellman) et RC4. EDH apporte aussi la propriété forward secrecy, mais Google a préféré ECDHE (Elliptic curve Diffie-Hellman) pour des raisons de performances.

La société de Larry Page prévoit d'ajouter le support d'IE à l'avenir et espère que son exemple encouragera d'autres fournisseurs de services utilisant HTTPS à mettre en oeuvre forward secrecy afin que cette propriété puisse un jour devenir la norme pour le chiffrement du trafic en ligne.

Frappé par une faille, Zoom bétonne la sécurité de sa webconférence

Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour...

le 16/07/2019, par Matthew Finnegan, Computerworld (adapté par Dominique Filippone), 1795 mots

Cisco émet trois avis de sécurité critiques pour DNA Center

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans...

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), 725 mots

Mirai essaye d'étendre son emprise au SD-WAN

Après les périphériques connectés, le malware Mirai s'attaque aujourd'hui aux équipements SD-WAN pour accroitre la portée de ses attaques. Mirai, le malware qui a détourné des centaines de milliers d'appareils...

le 18/06/2019, par Jon Gold, IDG NS (adapté par Jean Elyan), 531 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...