HTTPS, qui utilise SSL , assure la vérification de l'identité et la sécurité, afin que vous sachiez que vous êtes connecté au bon site Web et que personne ne peut vous écouter. C’est la théorie, de toute façon. En pratique, SSL sur le Web est une sorte de gâchis.
Cela ne veut pas dire que les cryptages HTTPS et SSL sont sans valeur, car ils sont certainement bien meilleurs que l'utilisation de connexions HTTP non cryptées. Même dans le pire des cas, une connexion HTTPS compromise ne sera pas aussi sécurisée qu'une connexion HTTP.
Le nombre absolu d'autorités de certification
EN RELATION: Qu'est-ce que HTTPS et pourquoi devrais-je m'en soucier?
Votre navigateur dispose d'une liste intégrée d'autorités de certification de confiance. Les navigateurs ne font confiance qu'aux certificats émis par ces autorités de certification. Si vous visitez https://example.com, le serveur Web d’exemple.com vous présente un certificat SSL et votre navigateur vérifie que le certificat SSL du site Web a été émis par exemple.com par une autorité de certification de confiance. Si le certificat a été émis pour un autre domaine ou s'il n'a pas été émis par une autorité de certification de confiance, vous verrez un avertissement sérieux dans votre navigateur.
Un problème majeur est qu'il y a tellement d'autorités de certification, donc les problèmes avec une autorité de certification peuvent affecter tout le monde. Par exemple, vous pouvez obtenir un certificat SSL pour votre domaine auprès de VeriSign, mais quelqu'un pourrait compromettre ou tromper une autre autorité de certification et obtenir également un certificat pour votre domaine.
Les autorités de certification n’ont pas toujours inspiré la confiance
EN RELATION: Comment les navigateurs vérifient les identités des sites Web et se protègent contre les imposteurs
Des études ont montré que certaines autorités de certification n'ont même pas fait preuve de diligence raisonnable lors de la délivrance des certificats. Ils ont émis des certificats SSL pour des types d'adresses qui ne devraient jamais nécessiter de certificat, tels que "localhost", qui représente toujours l'ordinateur local. En 2011, le FEP a trouvé plus de 2000 certificats pour «localhost» émis par des autorités de certification légitimes et de confiance.
Si les autorités de certification de confiance ont émis autant de certificats sans vérifier que les adresses sont même valides en premier lieu, il est naturel de se demander quelles autres erreurs elles ont commises. Ils ont peut-être également émis des certificats non autorisés pour les sites Web d’autres personnes à des attaquants.
Les certificats Extended Validation, ou certificats EV, tentent de résoudre ce problème. Nous avons couvert les problèmes avec les certificats SSL et la manière dont les certificats EV tentent de les résoudre .
Les autorités de certification pourraient être contraintes de délivrer de faux certificats
Étant donné qu'il y a tellement d'autorités de certification, qu'elles sont partout dans le monde, et que n'importe quelle autorité de certification peut émettre un certificat pour n'importe quel site Web, les gouvernements pourraient obliger les autorités de certification à leur délivrer un certificat SSL pour un site dont ils souhaitent se faire passer.
Cela s'est probablement produit récemment en France, où Google a découvert un certificat non conforme pour google.com avait été émis par l'autorité de certification française ANSSI. L’autorité aurait autorisé le gouvernement français ou quiconque le détenait à se faire passer pour le site Web de Google, en effectuant facilement des attaques de type «man-in-the-middle». L’ANSSI a affirmé que le certificat n’était utilisé que sur un réseau privé pour espionner les propres utilisateurs du réseau, et non par le gouvernement français. Même si cela était vrai, ce serait une violation des propres politiques de l'ANSSI lors de l'émission de certificats.
Perfect Forward Secrecy n'est pas utilisé partout
De nombreux sites n'utilisent pas le «secret de transmission parfait», une technique qui rendrait le cryptage plus difficile à déchiffrer. Sans un secret de transmission parfait, un attaquant pourrait capturer une grande quantité de données cryptées et tout décrypter avec une seule clé secrète. Nous savons que la NSA et d'autres agences de sécurité d'État du monde entier capturent ces données. S'ils découvrent la clé de chiffrement utilisée par un site Web des années plus tard, ils peuvent l'utiliser pour déchiffrer toutes les données chiffrées qu'ils ont collectées entre ce site Web et toutes les personnes qui y sont connectées.
Le secret de transmission parfait permet de se protéger contre cela en générant une clé unique pour chaque session. En d'autres termes, chaque session est chiffrée avec une clé secrète différente, de sorte qu'elles ne peuvent pas toutes être déverrouillées avec une seule clé. Cela empêche quelqu'un de déchiffrer une énorme quantité de données cryptées à la fois. Étant donné que très peu de sites Web utilisent cette fonctionnalité de sécurité, il est plus probable que les agences de sécurité nationales puissent déchiffrer toutes ces données à l'avenir.
Attaques de l'homme au milieu et personnages Unicode
EN RELATION: Pourquoi l'utilisation d'un réseau Wi-Fi public peut être dangereuse, même lors de l'accès à des sites Web cryptés
Malheureusement, les attaques man-in-the-middle sont toujours possibles avec SSL. En théorie, il devrait être sûr de se connecter à un réseau Wi-Fi public et d'accéder au site de votre banque. Vous savez que la connexion est sécurisée, car elle s'effectue via HTTPS, et la connexion HTTPS vous aide également à vérifier que vous êtes réellement connecté à votre banque.
Dans la pratique, il peut être dangereux de se connecter au site Web de votre banque sur un réseau Wi-Fi public. Il existe des solutions standard qui permettent à un hotspot malveillant de lancer des attaques d'intermédiaire contre les personnes qui s'y connectent. Par exemple, un point d'accès Wi-Fi peut se connecter à la banque en votre nom, en envoyant des données dans les deux sens et assis au milieu. Il pourrait vous rediriger sournoisement vers une page HTTP et vous connecter à la banque avec HTTPS en votre nom.
Il peut également utiliser une "adresse HTTPS similaire à un homographe". Il s’agit d’une adresse identique à celle de votre banque à l’écran, mais qui utilise en fait des caractères Unicode spéciaux, donc elle est différente. Ce dernier type d'attaque, le plus effrayant, est connu sous le nom d'attaque homographe de nom de domaine internationalisé. Examinez le jeu de caractères Unicode et vous trouverez des caractères qui semblent fondamentalement identiques aux 26 caractères utilisés dans l'alphabet latin. Peut-être que les o de google.com auxquels vous êtes connecté ne sont pas réellement des o, mais sont d'autres personnages.
Nous avons couvert cela plus en détail lorsque nous avons examiné les dangers de l'utilisation d'un hotspot Wi-Fi public .
Bien sûr, HTTPS fonctionne bien la plupart du temps. Il est peu probable que vous soyez confronté à une attaque d'intermédiaire aussi intelligente lorsque vous visitez un café et que vous vous connectez à leur réseau Wi-Fi. Le vrai point est que HTTPS a de sérieux problèmes. La plupart des gens lui font confiance et ne sont pas conscients de ces problèmes, mais c'est loin d'être parfait.
Image Credit: Sarah Joy
