27Jul
HTTPS, qui utilise le protocole SSL, assure la vérification de l'identité et la sécurité, de sorte que vous savez que vous êtes connecté au bon site Web et que personne ne peut vous écouter. C'est la théorie, de toute façon. En pratique, SSL sur le web est un peu en désordre.
Cela ne signifie pas que le chiffrement HTTPS et SSL ne vaut rien, car ils sont nettement meilleurs que l'utilisation de connexions HTTP non cryptées. Même dans le pire des cas, une connexion HTTPS compromise ne sera pas aussi sûre qu'une connexion HTTP.
Le nombre d'autorités de certification
Votre navigateur dispose d'une liste intégrée d'autorités de certification de confiance. Les navigateurs ne font confiance qu'aux certificats émis par ces autorités de certification. Si vous avez visité https://example.com, le serveur Web de example.com vous présentera un certificat SSL et votre navigateur vérifiera que le certificat SSL du site Web a été émis pour example.com par une autorité de certification de confiance. Si le certificat a été émis pour un autre domaine ou s'il n'a pas été émis par une autorité de certification approuvée, un avertissement sérieux s'affiche dans votre navigateur.
Un problème majeur est qu'il y a tellement d'autorités de certification, donc des problèmes avec une autorité de certification peuvent affecter tout le monde. Par exemple, vous pourriez obtenir un certificat SSL pour votre domaine auprès de VeriSign, mais quelqu'un pourrait compromettre ou tromper une autre autorité de certification et obtenir un certificat pour votre domaine également.
Les autorités de certification n'ont pas toujours inspiré confiance
Des études ont montré que certaines autorités de certification n'ont même pas fait preuve de diligence minimale lors de la délivrance des certificats. Ils ont émis des certificats SSL pour des types d'adresses qui ne devraient jamais nécessiter de certificat, par exemple "localhost", qui représente toujours l'ordinateur local. En 2011, l'EFF a trouvé plus de 2 000 certificats pour «localhost» délivrés par des autorités de certification légitimes et de confiance.
Si les autorités de certification de confiance ont émis autant de certificats sans vérifier que les adresses sont même valables en premier lieu, il est naturel de se demander quelles autres erreurs ont été commises. Peut-être qu'ils ont également délivré des certificats non autorisés pour les sites Web d'autres personnes aux attaquants. Les certificats
Extended Validation, ou certificats EV, tentent de résoudre ce problème. Nous avons couvert les problèmes avec les certificats SSL et comment les certificats EV tentent de les résoudre.
Les autorités de certification pourraient être obligées de délivrer de faux certificats
Parce qu'il y a tant d'autorités de certification, elles sont partout dans le monde et n'importe quelle autorité de certification peut délivrer un certificat pour n'importe quel site Web, les gouvernements pourraient obliger les autorités de certification à leur délivrer un certificat SSLpour un site qu'ils veulent usurper.
Cela est probablement arrivé récemment en France, où Google a découvert un certificat non autorisé pour google.com qui avait été émis par l'ANSSI.L'autorité aurait permis au gouvernement français ou à quiconque d'autre de le faire d'usurper l'identité du site Web de Google, en commettant facilement des attaques de type «man-in-the-middle».L'ANSSI a prétendu que le certificat n'était utilisé que sur un réseau privé pour fouiller les utilisateurs du réseau, pas par le gouvernement français. Même si cela était vrai, ce serait une violation des politiques de l'ANSSI lors de la délivrance des certificats.
Perfect Forward Secrecy n'est pas utilisé partout
De nombreux sites n'utilisent pas le "secret forward parfait", une technique qui rendrait le cryptage plus difficile à cracker. Sans une parfaite confidentialité, un attaquant pourrait capturer une grande quantité de données cryptées et les déchiffrer avec une seule clé secrète. Nous savons que la NSA et d'autres agences de sécurité de l'Etat à travers le monde capturent ces données. S'ils découvrent la clé de cryptage utilisée par un site Web des années plus tard, ils peuvent l'utiliser pour déchiffrer toutes les données cryptées qu'ils ont collectées entre ce site Web et tous ceux qui y sont connectés.
Le secret avant parfait permet de protéger contre cela en générant une clé unique pour chaque session. En d'autres termes, chaque session est cryptée avec une clé secrète différente, de sorte qu'ils ne peuvent pas tous être déverrouillés avec une seule clé.Cela empêche quelqu'un de décrypter une énorme quantité de données chiffrées à la fois.Étant donné que très peu de sites Web utilisent cette fonctionnalité de sécurité, il est plus probable que les agences de sécurité d'état puissent déchiffrer toutes ces données à l'avenir.
Homme dans les attaques moyennes et les caractères Unicode
Malheureusement, les attaques man-in-the-middle sont encore possibles avec SSL.En théorie, vous devriez pouvoir vous connecter à un réseau Wi-Fi public et accéder au site de votre banque. Vous savez que la connexion est sécurisée car elle s'effectue via HTTPS et la connexion HTTPS vous permet également de vérifier que vous êtes réellement connecté à votre banque.
En pratique, il peut être dangereux de se connecter au site Web de votre banque sur un réseau Wi-Fi public. Il existe des solutions prêtes à l'emploi qui permettent à un hotspot malveillant d'effectuer des attaques man-in-the-middle sur les personnes qui s'y connectent. Par exemple, un point d'accès Wi-Fi peut se connecter à la banque en votre nom, en envoyant des données de va-et-vient et en s'asseyant au milieu. Il pourrait vous rediriger furtivement vers une page HTTP et se connecter à la banque avec HTTPS en votre nom.
Il pourrait également utiliser une "adresse HTTPS semblable à un homographe". Il s'agit d'une adresse identique à celle de votre banque sur l'écran, mais qui utilise en réalité des caractères Unicode spéciaux, donc c'est différent. Ce type d'attaque, le dernier et le plus effrayant, est connu sous le nom d'attaque d'homographes de nom de domaine internationalisé.Examinez le jeu de caractères Unicode et vous trouverez des caractères identiques aux 26 caractères utilisés dans l'alphabet latin. Peut-être que les o de google.com auxquels vous êtes connecté ne sont pas des o, mais d'autres caractères.
Nous avons couvert cela plus en détail lorsque nous avons regardé les dangers de l'utilisation d'un hotspot Wi-Fi public .
Bien sûr, HTTPS fonctionne très bien la plupart du temps. Il est peu probable que vous rencontriez une attaque d'homme-dans-le-milieu si intelligente lorsque vous visitez un café et que vous vous connectez à leur Wi-Fi. Le vrai point est que HTTPS a de sérieux problèmes. La plupart des gens lui font confiance et ne sont pas conscients de ces problèmes, mais ils sont loin d'être parfaits.
Crédit d'image: Sarah Joy
