Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


HTTPS

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)





Cette page n'est pas encore écrite.

Assiste.com

HTTPSHTTPSHTTPS

HTTPS (HyperText Transfer Protocol Secure)

HTTP et HTTPS sont des protocoles de communication entre deux ordinateurs (un client et un serveur) sur le Web.

HTTP est le protocole le plus utilisé, comme, par exemple, dans http://assiste.com. Ce site ne manipule aucune donnée sensible (secrète) et n'a donc pas besoin d'aller cacher le contenu de ses pages en les chiffrant (en les cryptant) lorsque leur contenu transite sur le Web (contenu qui peut passer par de très nombreux dispositifs et ordinateurs intermédiaires entre vous et le serveur du site). Partout, entre vous et le serveur, sur les câbles utilisés ou les transmissions radiofréquences utilisées (WiFi, Bluetooth, etc. ...) et sur les dispositifs intermédiaires (concentrateurs, proxy, etc. ...), le contenu peut être intercepté et lu sans aucune difficulté.

Le préfixe HTTPS d'une adresse Web (une URL) indique que, contrairement à HTTP, la communication entre votre navigateur et le site Web se fait avec chiffrement et authentification, ce qui rend plus difficile le travail d'un attaquant cherchant à lire ou modifier les données qui circulent.

  • Le chiffrement concerne les données qui transitent sur le Web. Elles sont cryptées.
  • L'authentification concerne le site Web qui doit être titulaire d'un certificat permettant de vous assurer qu'il est bien qui il prétend être et non pas un usurpateur. Si le site visité n'a pas de certificat de sécurité, ou si ce certificat, qui doit être renouvelé annuellement, n'est plus à jour (périmé), vous en êtes informé par un message d'alerte. Vous pouvez tester cela en tentant de vous rendre sur le site assiste.com en HTTPS au lieu d'HTTP. Le serveur du site assiste.com supporte le chiffrement mais l'obtention d'un certificat, inutile en ce qui concerne assiste.com, est une opération payante qu'assiste n'a aucune raison de supporter. Essayez https://assiste.com.

Message : Cette connexion n'est pas certifiée

Lorsqu'un site s'affiche en HTTPS et qu'un lien envoie sur une autre page du site en HTTP au lieu d'HTTPS, votre navigateur Internet peut vous alerter avec un message comme (exemple de Firefox) :

HTTPS - Message d'alerte en cas de bascument d'HTTPS à HTTP
HTTPS - Message d'alerte en cas de bascument d'HTTPS à HTTP

Attaque « Homme du milieu » ("Man in the middle") - Nokia contre tous ses utilisateursAttaque « Homme du milieu » ("Man in the middle") - Nokia contre HTTPS et tous ses utilisateursAttaque « Homme du milieu » ("Man in the middle") - Nokia contre tous ses utilisateurs

10.01.2013 - Attaque "Man-in-the-middle" conduite systématiquement par le fabriquant de smartphones Nokia et son navigateur pour smartphone Xpress Browser contre toutes les communications en HTTPS de tous les utilisateurs de ses Smartphones. La réponse laconique de Nokia laisse sans voix. En substance : "Oui, nous décryptons vos communication HTTPS mais ne vous inquiétez pas pour celà !".

Cela concerne toutes les communications, incluant les établissements de connexions sécurisées vers les banques, les emails chiffrés, etc. ... 1; 2; 3; 4.

Déclaration du chercheur Gaurang Pandya

« D'après les tests effectués, il est évident que Nokia effectue une attaque « Man In The Middle » sur le trafic HTTPS sensible provenant de leurs téléphones et, donc, ils ont accès à des informations en texte clair incluant les identifiants de ses utilisateurs sur divers sites tels que les réseaux sociaux, les services bancaires, les informations de carte bancaires ou tout ce qui est sensible par nature. »

Pour un cybercriminel (ce qu'est Nokia dans cette affaire) qui se fait prendre à décrypter HTTPS, combien le font en silence, à l'insu de tous ?...

Attaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPS

Aucun « Permis de PC » n'existe et aucune information n'est réellement diffusée auprès des utilisateurs (les banques ont quelques pages d'information peu accesibles et peu utiles). La raison en est qu'il n'est pas question de faire peur aux « clients » avec les risques du Web. Cela risque de fraîner le développement des services sur le Web et le développement tous azimuts de l'industrie informatique. En conséquence :

  • Il est rare qu'un internaute surveille le protocole utilisé pour naviguer sur un site Internet.
  • Il est rare qu'un internaute sache ce qu'est HTTPS par rapport à HTTP.
  • Il est rare qu'un internaute sache ce qu'est un certificat d'authentification.

Il faut pourtant bien comprendre que « Le Web, c’est dangereux ».

Un chercheur en sécurité et insécurité informatique connu sous le pseudo de « Moxie Marlinspike » a présenté à la conférence Black Hat de février 2009, une démonstration d'une attaque relativement simple contre HTTPS. Il a compromis un dispositif (un " proxy ") se trouvant sur le chemin vers un serveur utilisant HTTPS et a remplacé à la volée le protocole HTTPS en HTTP, avec imitation de l'icône de confiance (le cadena fermé), tout en laissant croire au serveur et au client (avec un faux certificat), que tout le trafic est en HTTPS. Les données très privées (comptes, cartes bancaires, etc. ...) envoyées par les internautes le sont en clair, sans aucun chiffrement. Il suffit de les lire, en clair, sur le proxy, tandis qu'elles transitent vers le serveur du site visité par l'internaute piégé.

Les transparents (slides) utilisés lors de cette conférence

Les mêmes transparents (slides) avec la bande son de ses commentaires (en anglais) présentant son attaque, appelée sslstrip (1 h 09').

Cette attaque est maintenue à jour (dernière modification notée : 15 mai 2011) et a son code en Open source et un développement public sur github.

Attaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPS

20.09.2013 - Le magazine Der Spiegel révèle que l'agence britannique de surveillance des communications espionnait, depuis 2010, le principal opérateur téléphonique belge, l'entreprise d'état Belgacom, qui a notamment comme clients la Commission Européenne, le Conseil Européen et le Parlement Européen. Sous le nom de code "Operation Socialist", le GCHQ a infiltré le réseau informatique interne de cette entreprise à l'aide de Chevaux de Troie portant le nom de "Quantum Insert". Cette opération visait notamment la filiale BICS de Belgacom, qui a comme autres actionnaires l'opérateur suisse Swisscom et l'opérateur sud-africain Telekomkonzern. L'objectif principal de ce cyber-espionnage était d'être capable de surveiller le contenu de communications de "cibles" utilisant des smartphones, grâce à une technique appelée "Man-in-the-Middle". Voir Prism et compagnie.

Le 4 octobre 2013, le Guardian révèle, avec le support de l'expert en sécurité informatique Bruce Schneier, que la NSA et le GCHQ ont déployé sur internet un réseau secret de "serveurs" (nom de code Quantum), capables d'intercepter les requêtes adressées à des sites internet par des personnes ciblées. L'interception du flux est rendu possible grâce aux partenariats avec les opérateurs internet qui permettent aux agences de placer leurs serveurs aux points névralgiques du réseau internet. Ce dispositif est complété par un deuxième réseau secret de serveurs (nom de code FoxAcid) capables d'injecter un logiciel malveillant dans la requête internet. Ainsi, avec cette technique de détournement appelée "Man-in-the-middle", un internaute ciblé navigue sans se rendre compte qu'un logiciel malveillant s'est installé à son insu sur son équipement en exploitant une vulnérabilité.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "