Assiste.com
cr 01.04.2012 r+ 01.06.2024 r- 15.07.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
SSL (Secure Sockets Layer) (avec son successeur TLS (Transport Layer Security)) est un protocole de sécurisation des communications, sur l'Internet, chiffrant de bout en bout les données qui circulent. C'est le protocole de sécurisation le plus répandu. Trois objectifs simultanés sont poursuivis :
Tout ce qui n'est pas chiffré est vulnérable (et encore... La NSA, par exemple, a juré de casser tous les chiffrements).
Dans la relation client / serveur, qui est le mode de fonctionnement du Web (la partie de l'Internet que nous utilisons) le client est le poste de travail (l'ordinateur, celui du particulier comme celui d'un réseau d'entreprise) et le serveur est à l'autre bout, quelque part sur notre planète (celui d'une banque, d'une administration, etc.). Les données qui circulent entre deux ordinateurs passent par quantité d'ordinateurs intermédiaires qui servent de relais ou de routeurs.
SSL chiffre (crypte) les données avant qu'elles ne quittent l'ordinateur qui envoie les données et elles ne seront décryptées (déchiffrées) qu'après être entrées dans la machine à l'autre bout. On a ainsi créé un tunel dans lequel les données restent au secret de bout en bout.
Ainsi, des attaques de type « Man-in-the-middle » (ou HDM : « Homme du Milieu ») deviennent très difficiles à réaliser. L'Internet est totalement gangréné par des cybercriminels (ou des personnes de votre entourage) qui tentent d'accéder à toutes sortes d'informations personnelles, telles que vos informations bancaires, vos identifiants et mots de passe de connexion à toutes natures de sites Web ou de services en ligne (administration, santé, finances, etc.).
Lors de l'utilisation d'un navigateur Web, l'utilisateur s'aperçoit que la sécurité SSL est utilisée grâce à la présence d'un cadenas qui s'affiche et du protocole « HTTPS » qui débute l'URL (si du SSL à validation étendue est utilisé, la barre d'adresse devient verte).
SSL est d'une très grande simplicité d'usage (transparent) ce qui est la raison de son succès face à d'autres protocoles de chiffrement.
Un site Web qui ne fait transiter aucune donnée de ses visiteurs, confidentielle ou non, qui ne demande pas d'inscription et d'authentification, comme assiste.com, n'a pas besoin d'utiliser un protocole de sécurisation qui provoque des calculs consommateurs de puissance aux deux extrémités.
Toutefois, dans un mouvement général de sécurisation du Web, qui est un vaste panier de crabes, les moteurs de recherche, par exemple, tendent à faire régresser le classement des sites qui n'utilisent pas « HTTPS » et un protocole de chiffrement. Donc, pour des raisons de SEO (Search Engine Optimization), tous les sites d'un peu d'importance et pour qui le classement dans les résultats de recherche des moteurs compte passent tous à « HTTPS » et un protocole de sécurisation (SSL).
Pour les petits sites personnels, c'est quasiment impossible, car travailler avec un protocole sécurisé implique également que l'acteur (le webmaster) puisse certifier qu'il est bien celui qu'il prétend être, or cette certification s'obtient auprès d'une autorité de certification est cela est payant et doit être renouvelé sans cesse.
SSL remonte à 1994 :
SSL n'existe plus et est remplacé par TLS, mais le sigle SSL est devenu tellement populaire qu'il continue d'être utilisé, à tord, ou d'être accolé à TLS : ).
Quasiment tous les navigateurs Web reconnaissent et savent utiliser TLS 1.0. Les navigateurs qui supportent nativement TLS 1.1 et TLS 1.2 sont :
Lorsqu'un site qui supporte SSL/TLS n'utilise pas HTTPS mais HTTP pour certaines de ses pages (économie de puissance de calcul sur ses serveurs), il est possible de le forcer à utiliser HTTPS sur toutes ses URL avec HTTPS Everywhere.
HTTP (non sécurisé) utilise le port 80
HTTPS (sécurisé) utilise le port 443
SSLv2.0 doit être désactivé. Cette version de SSL est parfois maintenue pour des raisons de retrocompatibilité mais sa présence permet de créer une vulnérabilité, appelée DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), dans TLSv1.2
SSLv3.0 compote une faille appelée POODLE (Padding Oracle On Downgraded Legacy)
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus. |