Https le cadenas ne suffit pas

, par  Genma , popularité : 1%

Cette page se veut une vulgarisation/explication pédagogique et est donc accessible à tous.

Qu’est ce que le https? Un peu de vulgarisation

Quand on se connecte à un site web de façon sécurisé, on vérifie qu’il y a bien le "cadenas" dans la barre d’adresse, ou un "s" au niveau du httpS. Une extension commerce HTTPS Everywhere permet de ne pas à se préoccuper de la saisie de la bonne adresse, L’extension Certificate Patrol permet de valider quele certificat qui est utilisé pour établir la connexion sécurisé est le bon...

HttpS permet que, lorsque l’on se connecte à un site web, de créer un tuyau crypté chiffré entre notre ordinateur et le site web, et les identifiants et mots de passes ne circulent pas "en clair", ne peuvent être vus par un attaquant ou quelqu’un qui surveille le réseau (principe du chiffrement d’une connexion).

Différentes initiatives permettent d’aller plus moins et de renforcer notre propre sécurité.

Le site ssllabs

Le site ssllabs https://www.ssllabs.com/ssltest/ permet, quand on lui donne l’adresse d’un site, de déterminer la qualité du cadenas/de l’https que fournit ce site quand on utilisera une connexion sécurisée sur ce site. Ce site analyse donc la façon dont le "https" a été implémenté et attribue une note de F à A, en donnant le détail (pour les plus techniciens) sur le pourquoi de cette note. Cela donne par exemple pour un bon site, https://www.imirhil.fr/

Aeris et sa page qui liste

Aeris a pris le temps de tester différents sites allant de serveurs personnels, des Webmails, mais aussi les sites des banques en ligne, des Sites de commerce en ligne, des sites de l’Administration française et a regroupé l’ensemble de ces notes (avec le détail) sur une page https://www.imirhil.fr/ssl.html.

Cette page est très intéressante car on peut y voir, même si on ne comprend pas tout, que beaucoup de banque ont des notes de C, voir F, ce qui montre que le cadenas que ce sites de banque mettent en place est un cadenas de très faible qualité. Ces banques devraient faire le changement rapidement pour la sécurité des connexions de leurs clients. Le cadenas ne suffit pas et ne sert à rien si il est de faible qualité (quand l’attaquant a les connaissances suffisantes)

Le site Jeveuxhttps.fr

Comme la mise en place d’Https pour un site n’est pas forcément quelque chose de simple, qu’il faut avoir des connaissances en administration système, un site a été mis en place pour apporter des tutoriaux et des explications afin de pouvoir mettre en place "une connexion https de qualité sur son site" (les banques qui ont des notes entre C et F devraient demander à leurs équipes informatiques d’aller voir ce site). Ce site c’est https://www.jeveuxhttps.fr/

Ce site a été créé et son contenu initial édité par Benjamin Sonntag et Skhaen, aidés depuis par de nombreux d’autres. Son but est de favoriser et développer l’utilisation de HTTPS pour tous les sites web, en convaincant les webmaster et administrateurs système d’y passer, et en les aidant à le mettre en œuvre. Le but est aussi d’inviter les hébergeurs à mettre à disposition HTTPS de série dans leurs offres.

A consulter pour apprendre des choses, mettre en place https sur son propre site.

Conclusion

J’espère que ce billet vous aura appris des choses, vous aura sensibiliser à d’autres (Le cadenas ne suffit pas pour être en sécurité sur un site, voir la note des sites de banques - on rajoute une couche/on enfonce le clou). Et pour aller plus loin, je vous invite à lire mes différents billet taggués https, et en particulier Man in the middle par l’Entreprise.

Enfin, oui je sais que ce site n’est pas en https. Car ce site est sur les pages persos de Free. Et Free ne propose pas de certificat SSL et ne permet pas de déposer un certificat que l’on aura pu créer soi-même sur le serveur, vu que l’on a aucunement accès à la configuration d’apache. Si l’on veut avoir un accès https à son serveur, on se tournera donc vers des solutions autres, auto-hébergement ou un vrai hébergement et ce n’est pas encore prévu pour l’instant :-(