La norme HTTPS surclassée par la nouvelle norme HSTS

le 26/11/2012, par Jean Elyan avec IDG News Service, Sécurité, 966 mots

Destinée à empêcher certains types d'attaques contre des connexions HTTPS, la technologie HSTS est maintenant au point. Mais son adoption reste faible, car elle n'était pas une norme Internet officielle. C'est désormais chose faite sous la référence RFC 6797.

La norme HTTPS surclassée par la nouvelle norme HSTS

Le mécanisme de sécurité qui promet de rendre les sites web HTTPS plus efficaces pour résister à différents types d'attaques a été approuvé et élevé au rang de norme Internet. Mais, à part certains sites de grande envergure, l'adoption de cette norme reste encore limitée. Le HTTP Strict Transport Security (HSTS) permet aux sites web d'être accessibles uniquement via une connexion HTTPS (HTTP sécurisé). Il a été conçu pour empêcher les pirates de forcer les connexions utilisateurs sur le HTTP ou de tirer profit d'erreurs dans les implémentations HTTPS pour compromettre l'intégrité du contenu. En début de semaine, l'Internet Engineering Task Force (IETF), l'organisme chargé de développer et de promouvoir les standards de l'Internet, a validé la spécification HSTS et l'a élevé au rang de norme officielle (le document porte la référence RFC 6797). C'est en 2010 que le groupe de travail chargé de la sécurité du web au sein de l'IETF a commencé à se pencher sur la question. À l'origine du projet : Jeff Hodges de PayPal, Collin Jackson de l'Université Carnegie Mellon et Adam Barth de Google.

Bloquer les attaques « man-in-the-middle »

Le HSTS verrouille un peu plus les sites web HTTPS en évitant que les contenus mixtes en affectent la sécurité et l'intégrité. Les sites doivent gérer des contenus mixtes quand des scripts ou d'autres ressources embarquées dans un site web HTTPS sont chargés depuis un emplacement tiers via une connexion non sécurisée. Cette situation peut résulter d'une erreur de développement. Mais le recours à une source extérieure peut aussi être intentionnel. Lorsque le navigateur charge la ressource non sécurisée, il envoie une requête HTTP simple et peut également joindre le cookie de la session utilisateur. Un attaquant peut profiter de ce temps de connexion non sécurisé pour intercepter la requête à l'aide d'un renifleur de réseaux et récupérer le cookie et détourner le compte de l'utilisateur.

Le mécanisme HSTS empêche les attaques de type « man-in-the-middle » où l'attaquant parvient à intercepter la connexion d'un utilisateur à un site web et à forcer son navigateur à accéder à la version HTTP du site au lieu de la version HTTPS. Cette technique est connue sous le nom de Stripping Attack HTTPS ou SSL, et il existe des outils pour automatiser le processus. Lorsque le navigateur se connecte via HTTPS à un site web qui prend en charge le HSTS, la politique de sécurité stricte est appliquée et renouvelée pour une période déterminée. De ce point de vue, tant que cette politique mise en cache n'expire pas, le navigateur va refuser d'engager des connexions non sécurisées avec le site. La politique HSTS est transmise à travers un en-tête de réponse HTTP appelé Strict-Transport-Security. Le même en-tête peut être utilisé pour mettre à jour et renouveler la politique.

Une correction des erreurs commises avec le SSL

Selon Ivan Ristic, directeur de l'ingénierie pour l'entreprise de sécurité Qualys, « le HSTS est l'une des meilleures choses qui puisse arriver au SSL car il corrige certaines erreurs commises il y a 18 ans lors de la conception du protocole ». Le HSTS « intègre également les changements survenus depuis, et qui ont modifié la façon dont les navigateurs Web fonctionnent aujourd'hui », a-t-il ajouté. « Par exemple, c'était une erreur de se fier aux alertes des certificats parce que les utilisateurs ont pris l'habitude de les ignorer et de les neutraliser », a déclaré Ivan Ristic. « Dans la majorité des cas, ce n'est pas un gros problème, mais dans 1% des cas, cela peut être dangereux », a-t-il dit. « Le HSTS ne repose pas sur les alertes des certificats. Si un problème est détecté dans la mise en oeuvre du HTTPS, le navigateur va tout simplement refuser la connexion sans laisser aux utilisateurs la possibilité de passer outre », a ajouté le directeur de l'ingénierie.

Mais, même avec le HSTS activé sur un site web, il reste encore une petite fenêtre pour les attaques, lorsque le navigateur visite le site pour la première fois et qu'il n'a pas sauvegardé la politique HSTS. À ce moment-là, un attaquant pourrait l'empêcher de parvenir à la version HTTPS du site et pourrait forcer la connexion à utiliser le protocole HTTP. Afin de résoudre ce problème, les navigateurs comme Chrome et Firefox sont livrés avec des listes de sites Web populaires préchargés pour lesquels le HSTS est appliqué par défaut.



Selon SSL Pulse, un projet qui surveille les implémentations HTTPS sur la plupart des sites Internet visités de la planète, seuls environ 1 700 des 180 000 premiers sites compatibles HTTPS supportent le HSTS. « Mis à part un taux d'adoption globalement assez faible, quelques sites supportant la fonctionnalité ont des problèmes d'implémentation », a expliqué Ivan Ristic. Par exemple, certains d'entre eux ont fixé une durée de validité très courte - également connu sous la dénomination de temps de vie - à leurs politiques HSTS. « Pour que le HSTS soit efficace, les documents doivent être validés pour plusieurs jours, voire plusieurs mois », a-t-il estimé.

Selon le directeur de l'ingénierie, le fait que HSTS devienne une norme officielle ne va pas nécessairement pousser à son adoption. « Les opérateurs de sites web ont toujours été très opportunistes et ils implémentent toujours ce qui leur est utile, indépendamment du fait que ce soit un standard ou pas », a-t-il dit. « Le plus gros problème avec le HSTS, c'est l'éducation », a déclaré Ivan Ristic. « Les gens doivent savoir que ça existe ».

À l'heure actuelle, parmi les sites web qui prennent en charge le HSTS, on trouve PayPal, Twitter, les différents services de Google. Facebook est toujours en train de déployer le HTTPS à travers son site web, mais le réseau social ne supporte pas encore le HSTS.

Sécurité et réseau SD-WAN avec le package Prisma SASE chez Palo Alto...

L'offre Prisma SASE de Palo Alto Networks associe l'offre principale Prisma Access de l'équipementier à sa technologie Prisma SD-WAN. L'équipementier Palo Alto Networks a regroupé ses technologies SD-WAN et de...

le 17/09/2021, par Michael Cooney, IDG NS, et Serge Leblal, 553 mots

Attaque massive contre le moteur Yandex

Yandex voit rouge depuis qu'un botnet a pris le moteur de recherche russe en grippe. Nommé Mēris, il a battu un record d'attaque DDoS avec 21,8 millions de requêtes envoyées par seconde. Le géant russe de...

le 10/09/2021, par Célia Séramour, 493 mots

Un Clusir Bretagne pour regrouper les professionnels de la...

Terre historique de la cybersécurité, la Bretagne n'avait curieusement pas encore de Clusir. C'est désormais chose faite. L'association regroupant les experts en sécurité de la région peut compter sur un...

le 08/09/2021, par Jacques Cheminat, 369 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...