Les dangers de l'HTTPS

kyzdra

kyzdra

2 min read

Le principal danger du protocole HTTPS est la désinformation massive des politiques commerciales qui tendent à simplifier le fait que lorsqu’un site se retrouve avec le petit cadenas, il est sécurisé. Le petit cadenas dans le navigateur indique bien entendu que le site utilise le protocole HTTPS, et donc qu’auncun tiers ne pourra avoir accès aux communications client/serveur par technique de sniffing ou par l’attaque de l’homme du milieu (et encore ce dernier reste à prouver, avec les faiblesses récentes [exemple] trouvées dans la couche SSL). Le petit cadenas nous indique en rien que le site est lui même sécurisé et ne comporte aucune vulnérabilité.

Les connexions HTTPS ne sont donc pas bloquées en entreprise, car ne peuvent passer par des proxy filtrants. Le danger est donc assez clair, si les utilisateurs surfent sur de mauvais sites HTTPS les filtres mis en place par les entreprises se trouvent donc être inefficaces.

Le danger aussi peut venir de la méconnaissance de l’utilisateur face à ce protocole. Il arrive qu’en surfant sur le net un message d’avertissement apparaisse comme quoi le site n’utilise pas un bon certificat ou un certificat auto-signé. L’utilisateur peut sans comprendre vraiment l’enjeu de ce message d’avertissement continuer à surfer sur le site en question. A partir de ce moment plus rien n’est garanti pour l’utilisateur : site malveillant, interception des communications client/serveur, etc. Heureusement que les navigateurs récents (Firefox, par exemple) ont complexifié la tâche pour surfer sur des sites ayant un certificat non certifié par une autorité de certification reconnue. Mais aujourd’hui on le sait pertinemment, il suffit de débourser quelques euros pour avoir son certificat valide.

Un autre danger que l’on peut retrouver sur différents sites c’est que le protocole HTTPS soit utilisable en même temps que le protocole HTTP. Différents sites ne redirigent pas correctement les sessions lorsqu’elles devraient être sécurisées. Cela ne sert à rien de proposer d’avantage de sécurité à la connexion (HTTPS est ici pour avant tout protoger l’utilisateur du vol de données confidentielles : login, mot de passe, numéro de carte bancaire, etc), alors qu’il est possible de rediriger l’utilisateur (simplement en enlevant le « s » de HTTPS) vers une page non chiffrée. Tout devient alors possible en utilisant des procédures de phishing adaptées.

Malgré ces critiques je suis plutôt de ceux qui se range du coté de ce protocole. Lorsque l’on voit aujourd’hui le nombre de sites qui ne proposent pas par défaut pour s’authentifier le protocole HTTPS, il y a de quoi voir rouge. Dès que les sites contiennent des données utilisateur un peu sensibles il devrait pourtant y avoir une prise de conscience de l’utilité de renforcer un petit peu les procédures d’authentification. Lorsque je vois le site Facebook, proposer à ses utilisateurs une procédure d’authentification non chiffrée je me demande s’ils ont tout compris à la sécurité (pourtant des millions d’utilisateur utilisent ce service, et les données manipulées me paraissent très personnelles). Bref même s’il est important d’avoir plusieurs mots de passe, il est important aussi de différencier ses mots de passe selon les procédures d’authentifications offertes par le site (ne pas utiliser le même mot de passe pour un site HTTP et un autre site HTTPS, on ne sait jamais il peut être intercepté dans le premier cas).

Read more