IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Doit-on chiffrer le Web en entier ?
Des experts se prononcent sur l'utilisation du protocole HTTPS

Le , par Francis Walter
30 commentaires

29PARTAGES

4  0 
Quel protocole utilisez-vous pour vos sites ?
HTTPS
42 %
HTTP
39 %
Autres
16 %
Voter 31 votants
Le récent bogue Heartbleed a remis en cause la sécurité d’Internet. Bien avant la découverte du bogue, la communauté réfléchissait déjà sur un renforcement de la sécurité d’Internet. Plusieurs experts en sécurité et du web se sont prononcés à propos de la sécurité sur Internet. On se demande désormais s’il ne faut pas chiffrer Internet dans son entièreté.

Il y a seulement quelques jours, Matt Cutts, chargé de la lutte antispam chez Google, a annoncé que Google envisage de stimuler la recherche des sites utilisant des algorithmes de chiffrement de données, une décision qui pourrait contraindre la plupart des sites à chiffrer leurs données. Cela pourrait réduire les espionnages faits par les gouvernements au moyen d’Internet, limiter les vols de données avec un trafic sécurisé, etc.

Le protocole HTTPS a été créé pour protéger les informations de connexion à un site telles que les mots de passe, de même que celles de carte de crédit. Nombreux sont ces sites qui utilisent ce protocole, mais dans la réalité, seuls quelques-uns tels que Facebook et Gmail l’utilisent vraiment pour protéger leur trafic sur Internet. Le protocole HTTPS permet de chiffrer les données de telle sorte que seuls le serveur et l’ordinateur de l’utilisateur parviennent à comprendre les messages échangés lors de la communication.

En effet, l’utilisation du protocole HTTPS stipule que soit le protocole SSL ou soit TLS est employé pour sécuriser le trafic réseau. Certes, les protocoles SSL/TLS possèdent de nombreuses failles. Moxie Marlinspike, un ancien ingénieur chez Twitter, avait eu à démontrer plusieurs bogues sur lesdits protocoles. Toutefois, il stipule qu’il est toujours mieux d’utiliser le HTTPS car « il y a de la valeur à rendre le trafic réseau aussi opaque que possible, même le contenu statique ». En outre, il aurait aimé que le texte brut sur Internet soit aussi chiffré.

Rappelons qu’Edward Snowden, ex-analyste de la NSA, a recommandé que les données sur Internet soient chiffrées de bout en bout. Sa proposition a été appuyée par Tim Berners-Lee, le père du web. Snowden explique que ce genre de chiffrement limiterait les espionnages de masse faits par les gouvernements. Eric Butler, un développeur de logiciels, confirme l’affirmation de Snowden. Selon Butler, il est beaucoup plus facile aux gouvernements ou aux criminels d’espionner ce que font les utilisateurs sur Internet lorsque c’est le protocole HTTP qui est utilisé.

Non seulement le HTTPS chiffre les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue, une vérification que le HTTP ne pourrait faire. « Toute sorte d’attaques qui vise à inciter la victime à se connecter au serveur du pirate à la place du serveur réel est stoppée par le HTTPS », a écrit Micah Lee, un technologue de The Intercept. Il ajoute aussi que les éditeurs de logiciels doivent impérativement utiliser le protocole HTTPS sur leur site de téléchargement sans quoi, ils mettent la vie de leurs utilisateurs en danger.

Le protocole HTTPS possède de nombreux atouts pour la sécurité du trafic sur Internet. Cependant, il est encore très peu utilisé par les sites web. L’une des principales raisons du faible taux d’utilisation serait le coût élevé des certificats TLS, avait affirmé Yves Lafon, un expert en HTTPS du Consortium World Wide Web (WWW). En fonction du niveau de sécurité désiré et du type de certificat, le coût varie entre 10 et 1000 dollars l’année. Une seconde raison serait le fait que le HTTPS augmente la consommation en ressources et serait capable de ralentir la vitesse d’échange de données des sites.

Par ailleurs, les petits sites utilisant des hébergements mutualisés pas chers ainsi que les sites utilisant des réseaux de distribution de contenus (CND) seraient confrontés à des difficultés lors de la mise en place d’un certificat unique ou lors de l’application du protocole SSL.

Pour une meilleure utilisation d’Internet, pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait le moyen idéal. Les sites ne devraient donc pas tardé à l’adopter afin d’espérer d’avoir un Internet sans espionnage et sans inquiétude.

Source : Wired

Et vous ?

Quel protocole utilisez-vous ? Pourquoi ?

Une erreur dans cette actualité ? Signalez-nous-la !

30 commentaires
Commenter Signaler un problème
xavierss
Avatar de xavierss
Membre à l'essai https://www.developpez.com
Le 21/04/2014 à 15:54
Vu le prix d’un certificat ssl, pour les petits sites ou pour les sites qui ne propose pas d’inscription, cela ne me semble pas nécessaire.
5  0 
kedare
Avatar de kedare
Membre chevronné https://www.developpez.com
Le 21/04/2014 à 17:34
On passera tout en HTTPS le jour ou le domaine des PKI ne sera plus dominé par des entreprises capitalistes commerciales qui vous vendent des certificats SSL à prix d'or...

Il y a bien des alternatives comme cacert.org, mais bon, on se doute bien que les "gros" fournisseurs SSL font des chèques aux différents fournisseurs d'OS pour ne pas intégrer les certificats racines d'organisation SSL telle que celle ci
3  0 
Aéris22
Avatar de Aéris22
Membre du Club https://www.developpez.com
Le 21/04/2014 à 17:34
Citation Envoyé par forthx Voir le message
En entier ? irréaliste !
Non, ça se fait sans problème. L'IETF songe carrément à l'intégrer en natif (voir ici).

Un chiffrement plus systématique ? Quel en serait le cout (certificat/matériel/énergétique)?
Le coût est un faux problème.
Le coût des certificats actuels ne sert qu'à financer l'assurance d'un remboursement en cas de défaillance de SSL/TLS sur un site marchand. Aucunement à sécuriser réellement ta communication et encore moins à identifier le site en face, SSL/TLS étant trop faible aujourd'hui à cause du trop gros nombre de Root-CA existantes. Qui fait confiance au gouvernement chinois ou à Microsoft ? Les MITM sont monnaies courantes avec SSL/TLS et d'une facilité déconcertante dès que tu as accès à une Root-CA.
On pourrait imaginer dissocier émission d'un certificat (qui serait alors gratuit ou en tout cas abordable) et assurances (cher).
Et en profiter pour virer toutes ces Root-CA à la con ou en tout cas ne plus leur accorder autant de crédit, et privilégier le trust-on-first-contact pour authentifier un site (ce qui d'ailleurs demanderait à pas mal de prestataires de services de revoir leur infra SSL/TLS toutes moisies basées sur des CDN et whatmille certificats qui fait que chaque requête web ou presque vous présente un nouveau certificat…

A part pour protéger les utilisateurs de l'espionnage de leur FAI (qui en fait vois passer tout les paquet et peut donc facilement se retrouver en position avantageuse pour une lecture en clair si le protocole de chiffrement est standard)
SSL/TLS étant un chiffrement point-à-point, ton FAI n'a absolument pas accès au contenu en clair d'un échange chiffré par SSL/TLS. Même s'il avait accès à l'intégralité des paquets du monde.
Seule l'accès à la clef privée du serveur peut déchiffrer le contenu. Ou une attaque par bruteforce, mais accessible uniquement à des entités gouvernementales type NSA.

j'ai du mal à voir la pertinence de passer par du https (ou équivalent) pour consulter une page Wikipédia (même si c'est déjà possible ). Il me manque probablement des élément pour comprendre(si vous avez ces élément je ne demande qu'a comprendre), car dans l'immédiat je ne vois pas l'intérêt.
Metadata, « anonymisation » du traffic, vie privée…
T'as pas à gueuler en clair à la moitié de la planète « Je viens de consulter la page « Chatons » sur Wikipedia ».

Mon site perso? HTTP fait bien l'affaire !
HTTPS fait encore plus l'affaire
2  0 
Aéris22
Avatar de Aéris22
Membre du Club https://www.developpez.com
Le 22/04/2014 à 11:16
Citation Envoyé par Saverok Voir le message
Si cryptage de bout en bout : pas de cache possible
Forcément, cela aura un coût sur les serveurs du même que sur le réseau.
Le web sera également plus lent par la disparition des serveurs de cache de même par l’augmentation des requêtes d’authentification/validation dues à l'utilisation des certificats.
Je sais pas où tu as vu ça, mais il n'y a pas de serveur cache sur le réseau… Au mieux, c'est le serveur lui-même qui sert de cache avant chiffrement, et s'évite donc la reconstruction de ses pages à chaque requête. Le chiffrement ne changement strictement rien là-dedans.

Pire, avoir des serveurs de cache tierces, c'est une violation claire et nette de la neutralité du réseau, avec des serveurs qui vont se mettre à inspecter le traffic pour savoir quoi en faire, ainsi que la fin de ta vie privée vu qu'ils seraient alors capable d'associer à ton adresse IP cliente tout le contenu que tu as visité et qu'ils ont mis en cache…

Enfin, si tu as un jour à te poser la question du cache, c'est que tu fais mal les choses. Le besoin de cache ne se fait sentir que parce que le web d'aujourd'hui est hyper centralisé, avec quelques gros serveurs (Google, Facebook, Amazon, Youtube…) qui servent des milliards de clients, et génèrent un traffic ultra assymétrique (peu de débit client->serveur, beaucoup de débit serveur->client).
Alors qu'il faudrait un réseau acentré, avec tout le monde quasiment autant consommateur que producteur. Et dans ce cas, la question de caches tiers ne se pose même plus.
2  0 
forthx
Avatar de forthx
Membre éprouvé https://www.developpez.com
Le 21/04/2014 à 16:43
En entier ? irréaliste !
Un chiffrement plus systématique ? Quel en serait le cout (certificat/matériel/énergétique)?
On inclue l'auto-signature ? Sinon c'est les autorités de certifications qui vont être contentes !

A part pour protéger les utilisateurs de l'espionnage de leur FAI (qui en fait vois passer tout les paquet et peut donc facilement se retrouver en position avantageuse pour une lecture en clair si le protocole de chiffrement est standard) j'ai du mal à voir la pertinence de passer par du https (ou équivalent) pour consulter une page Wikipédia (même si c'est déjà possible ). Il me manque probablement des élément pour comprendre(si vous avez ces élément je ne demande qu'a comprendre), car dans l'immédiat je ne vois pas l'intérêt.

Mon site perso? HTTP fait bien l'affaire !
1  0 
Aéris22
Avatar de Aéris22
Membre du Club https://www.developpez.com
Le 21/04/2014 à 22:59
Citation Envoyé par Zefling Voir le message
J'y passerais, quand les certificats multi domaine coûteront un prix abordable (ex : https://www.gandi.net/ssl/grid ). Je me vois pas foutre le prix de ma location serveur en certificat. Surtout que ça reste du perso...
Dans l'ordre de préférence/sécurité/confiance :
0 - Autosigné, c'est bien (trust-on-first-contact, tout ça tout ça…)
1 - CACert, c'est bien aussi (pas de certification à la con, un bon cercle de confiance…)
loin - StartSSL (cert gratos mais pas multidomaine)
trop loin - le reste des root CA

Et dans tous les cas, faire comprendre aux gens qu'il ne faut SURTOUT pas avoir confiance dans les certificats commerciaux.
En terme de sécurité & confiance, un auto-signé possède un degré bien supérieur à tout ce que pourra jamais proposer une CA commerciale.
Faut juste bien faire rentrer dans les mœurs qu'une fingerprint d'un certificat SSL/TLS, c'est pas juste pour faire joli et amuser les geeks…
1  0 
Lupus Michaelis
Avatar de Lupus Michaelis
Membre du Club https://www.developpez.com
Le 21/04/2014 à 23:36
Visiblement l'auteur de l'article ne comprend pas de quoi il parle. L'Internet ne se réduit pas au web. Certes, TLS est aussi employé dans d'autres protocoles (SMTPS, IMAPS, etc), mais là il est clairement question de HTTPS, et donc uniquement du Web.

CACert vient d'être retiré de plusieurs OSes libres, parce que cette organisation n'est pas sûre. Ils ont échoués à tous les audits sécurité qu'ils se sont imposés https://lwn.net/Articles/590879/ Il n'y a pas de complot économique visant à le faire disparaître. Le problème des certificats, c'est qu'il faut mettre en place une structure, et payer des gens pour s'en occuper, car c'est largement un boulot à plein temps. Et tant que CACert ne fera pas les choses sérieusement, personne ne pourra les considérer comme fiables.
1  0 
Zefling
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 22/04/2014 à 10:12
Citation Envoyé par Aéris22 Voir le message
Dans l'ordre de préférence/sécurité/confiance :
0 - Autosigné, c'est bien (trust-on-first-contact, tout ça tout ça…)
1 - CACert, c'est bien aussi (pas de certification à la con, un bon cercle de confiance…)
loin - StartSSL (cert gratos mais pas multidomaine)
trop loin - le reste des root CA

Et dans tous les cas, faire comprendre aux gens qu'il ne faut SURTOUT pas avoir confiance dans les certificats commerciaux.
En terme de sécurité & confiance, un auto-signé possède un degré bien supérieur à tout ce que pourra jamais proposer une CA commerciale.
Faut juste bien faire rentrer dans les mœurs qu'une fingerprint d'un certificat SSL/TLS, c'est pas juste pour faire joli et amuser les geeks…
Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.
1  0 
SylvainPV
Avatar de SylvainPV
Rédacteur/Modérateur https://www.developpez.com
Le 22/04/2014 à 10:36
Citation Envoyé par Aéris22 Voir le message

Metadata, « anonymisation » du traffic, vie privée…
T'as pas à gueuler en clair à la moitié de la planète « Je viens de consulter la page « Chatons » sur Wikipedia ».
Tu peux m'expliquer pourquoi la moitié de la planète surveillerait mes requêtes HTTP ?

C'est bien beau de vouloir mettre du HTTPS partout, comme on voudrait teinter les vitres de toutes les voitures. Ne pas oublier que dans la majorité des cas, les problèmes de confidentialité et de vol de données proviennent d'une erreur humaine. Appelez ça "social hacking" ou piège à cons, c'est encore ce qu'il y a de plus simple et efficace.
2  1 
Aéris22
Avatar de Aéris22
Membre du Club https://www.developpez.com
Le 22/04/2014 à 11:10
Citation Envoyé par Zefling Voir le message
Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.
Je regrette effectivement que ce message d'alerte est aussi anxiogène.
Ça devrait même être l'inverse qui devrait se produire, avec un message bien anxiogène quand on visite du HTTPS certifié par une autorité de certification non maîtrisable (« Attention, le site que vous visitez est approuvé par 1 seule des 437 autorités de certification embarquées dans ce navigateur, parmis lequelles le gouvernement Chinois, Microsoft, le gouvernement Turc, les services secrets Français, Google, et au moins une dizaine d'autorités ayant déjà été compromises par le passé et autant d'entités états-uniens contrôlées par la NSA. Êtes-vous sûr de vouloir continuer et de faire confiance à ce site qui n'est peut-être pas celui qu'il prétend être ? »), et un message simple de validation d'un certificat autosigné (« Ce site indique être signé par XXXX avec le n° de série YYYY. Avant de continuer, vous pouvez confirmer auprès de XXXX par tout moyen que vous jugerez fiable (téléphone, messagerie instantanée avec OTR, courriel signé avec GPG…) que ce site lui appartient bien. Voulez-vous continuer ? »).

Citation Envoyé par SylvainPV Voir le message
Tu peux m'expliquer pourquoi la moitié de la planète surveillerait mes requêtes HTTP ?

C'est bien beau de vouloir mettre du HTTPS partout, comme on voudrait teinter les vitres de toutes les voitures. Ne pas oublier que dans la majorité des cas, les problèmes de confidentialité et de vol de données proviennent d'une erreur humaine. Appelez ça "social hacking" ou piège à cons, c'est encore ce qu'il y a de plus simple et efficace.
HTTP = plain text = tout routeur entre toi et ton site consulté qui voit ce que tu fais.
Donc de base, HTTP = tu gueules à la moitié de la planète (vu que 99% des sites consultés sont hors de France voire d'Europe) ce que tu visites.

En prime, je ne sais pas où tu as hiberné cette dernière année, mais on a eu Snowden qui est passé par là et on a vu surgir du PRISM, du XKEYSCORE, du LUSTRE, la NSA, le GCHQ et la DGSI, pluggés comme des porcs sur les fibres transatlantiques… Toutes tes communications sont mises sur écoute…
https://nsa-observer.laquadrature.net/
1  0 
Commenter Signaler un problème