La campagne de Google visant à généraliser le plus possible la connexion sécurité HTTPS, a été citée une fois de plus dans l’actualité, mentionnant la mise en œuvre du mécanisme HTTP Strict Transport Security (HSTS) préchargé, pour 45 domaines de premier niveau (TLD) qu’il contrôle d’ailleurs dans le cadre de son activité de registrar.
Il existe plusieurs chapitres à cette histoire, à commencer par le fait peu connu que Google est depuis 2015 un registrar pour les domaines génériques de premier niveau, tels que .ads, .here, .meme, .ing, .rsvp, .fly, et .app, pour n’en citer que quelques-uns.
Le suivant est le HSTS (HTTP Strict Transport Security), d’abord adopté par Chrome 4 en 2009, et qui est incorporé dans tous les principaux navigateurs.
HTTP Strict Transport Security est un moyen pour un site web d’insister pour que les navigateurs se connectent à lui en utilisant le protocole HTTPS chiffré, au lieu de passer par une connexion HTTP non sécurisé. Un navigateur qui tenterait de visiter http://news.sophos.com/fr-fr/, par exemple, serait redirigé vers une URL qui utilise le HTTPS et lui demanderait d’ajouter le site à sa liste de sites qui doivent toujours être visités via une connexion HTTPS. Dès lors, le navigateur utilisera toujours le protocole HTTPS pour ce site, et ce quoi qu’il arrive.
L’utilisateur n’a rien à faire, qu’il tente de visiter le site via un marque-page, un lien ou simplement en tapant HTTP dans la barre d’adresse.
La seule faille dans ce système est que les navigateurs peuvent toujours se connecter à une URL HTTP non sécurisée la première fois qu’ils se connectent à un site, ouvrant une petite brèche utilisable par des cybercriminels pour lancer des attaques de l’Homme du Milieu (MITM), pirater des cookies, et lancer des cyberattaques par dégradation du chiffrement, telles que l’attaque bien connue Poodle SSLv3, découverte par les chercheurs de Google en 2014.
Le HTTP Strict Transport Security (HSTS) préchargé résout ce problème en pré-chargeant une liste de domaines HSTS dans le navigateur lui-même, refermant ainsi complètement cette brèche.
Mieux encore, ce pré-chargement peut être appliqué à tous les TLDs, et pas seulement aux domaines et aux sous-domaines, signifiant ainsi qu’il devient automatique pour quiconque ayant enregistré un nom de domaine en lien avec ce TLD.
Comme Google a déclaré :
L’ajout d’un TLD complet à la liste de pré-chargement HSTS est également plus efficace, car il sécurise tous les domaines sous ce TLD, sans avoir à inclure tous les domaines concernés individuellement.
Comme les listes de pré-chargement du mécanisme HTTP Strict Transport Security peuvent prendre des mois à se mettre à jour au niveau des navigateurs, la configuration par TLD a l’avantage supplémentaire de rendre le HSTS instantané pour les nouveaux sites web qui les utilisent.
Le fait que Google prévoit d’étendre le HSTS préchargé à 45 TLDs au cours des prochains mois, est une nouvelle bien plus importante qu’elle n’y paraît : des millions de nouveaux sites enregistrés sous chaque TLD auront désormais le HTTPS (et les propriétaires devront configurer leurs sites web pour qu’ils fonctionnent sur HTTPS aux risques de voir ces derniers hors service).
Mais dans les faits l’adoption du HTTPS rencontre des obstacles : trop de sites ne se soucient toujours pas du protocole HTTPS, un comportement que Google a d’ailleurs tenté de combattre avec des initiatives récentes telles que Chrome, signalant les sites non-HTTPS comme “non fiables”, une sorte de mise au pilori à grande échelle !
Une autre barrière est le coût, expliquant pourquoi Google a soutenu l’autorité de certification Let’s Encrypt qui offre des certificats gratuits (même s’il s’avère que les sites d’hameçonnage s’en servent également).
En fin de compte, le plus grand allié pour rendre le HTTPS universel pourrait simplement être le changement d’attitude des utilisateurs sur internet, qui ont d’ailleurs commencé à mieux comprendre l’importance de la sécurité sur le web, et ce dans leur propre intérêt !
Billet inspiré de Google is making encryption mandatory for sites on 45 Top-Level Domains, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.