HTTPS

HTTPS

HTTPS (avec S pour secured, soit « sécurisé ») est la combinaison de HTTP avec une couche de chiffrement comme SSL ou TLS.

Il permet au visiteur de vérifier l'identité du site auquel il accède grâce à un certificat d'authentification émis par une autorité tierce réputée fiable (et généralement "whitelistée" dans les navigateurs). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut permettre de valider l'identité du visiteur si celui-ci utilise également un certificat d'authentification client.

Il est généralement utilisé pour les transactions financières en ligne : commerce électronique, banque en ligne, courtage en ligne, etc. Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques par exemple.

Par défaut, les serveurs HTTPS sont connectés au port TCP 443.

Sommaire

HTTPS et piratage

La sécurité des informations transmises par HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité.

Partant du principe que les internautes précisent rarement le type de protocole dans les URL (le protocole HTTP étant sélectionné par défaut) et se contentent de suivre des liens, un chercheur en sécurité informatique a développé une attaque du type man in the middle afin de contourner le chiffrement de HTTPS[1]. Le pirate se positionne entre le client et le serveur et change les liens https: en http:, ainsi le client envoie ses informations en clair via le protocole HTTP et non HTTPS. Ce type d'attaque a été présenté par Moxie Marlinspike à la Blackhat Conference 2009[2]. Durant cette conférence, il a non seulement présenté le fonctionnement de l'attaque mais également quelques statistiques d'utilisation. Il a réussi à récupérer plusieurs centaines d'identifiants, informations personnelles et numéros de cartes bancaires en 24 heures, personne ne s'est douté de l'attaque en cours.

Une autre attaque de type Man in the middle put être mise en œuvre en juillet 2011[3][4], par l'obtention frauduleuse de certificats valides auprès de l'ancienne autorité de certification DigiNotar, piratée. Cette attaque fut utilisée pour mettre en place de faux sites Google (certificat frauduleux pour les domaines *.google.com) et ainsi espionner la consultation de plusieurs comptes GMail d'utilisateurs Iraniens.

Enfin, en septembre 2011, Duong and Rizzo, deux chercheurs, ont présenté à la Ekoparty Security Conference un nouveau type d'attaque, basé cette fois sur le décryptage des paquets transmis sur le réseau. Cette attaque utilise une vulnérabilité du chiffrage Cipher Block Chaining du protocole TLS 1.0, connue de longue date. Pour exploiter cette vulnérabilité, il s'agit d'insérer dans la page consultée du code Javascript communiquant la valeur du cookie de session à un sniffer de paquets réseau, afin de l'utiliser pour décrypter le reste de la communication. Seuls les sites supportant la version de cryptage TLS 1.0 sont affectés par cette vulnérabilité ; cependant à la date de septembre 2011, cela concerne l'immense majorité des sites du fait de la réticence des sites et navigateurs à mettre en application les versions TLS 1.1 et 1.2[5].

HSTS

Article détaillé : HTTP Strict Transport Security.

HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l'agent utilisateur par le serveur via la réponse HTTP, dans le champ d'entête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l'agent utilisateur doit accéder au serveur uniquement de façon sécurisée.

Références

Voir aussi


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article HTTPS de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • HTTPS — (Hypertext Transfer Protocol Secure) Familie: Internetprotokollfamilie Einsatzgebiet: Verschlüsselte Datenübertragung Port: 443/TCP HTTPS im TCP/IP‑Protokollstapel: Anwendung HTTP …   Deutsch Wikipedia

  • Https — (Hypertext Transfer Protocol Secure) Familie: Internetprotokollfamilie Einsatzgebiet: Verschlüsselte Datenübertragung Port: 443/TCP HTTPS im TCP/IP‑Protokollstapel: Anwendung HTTP …   Deutsch Wikipedia

  • HTTPS — Название: Hypertext Transfer Protocol Secure Уровень (по модели OSI): Прикладной Семейство: TCP/IP Создан в: 2000 г. Порт/ID: 443/TCP Назначение протокола: Шифрование и безопасное соединение с сервером …   Википедия

  • HTTPS — er en krypteret udgave af HTTP. HTTPS er en protokol på Internettet der oftest bruges i forbindelse med tjenester hvor kun afsender og modtager må kende meddelelsen, for eksempel netbanker, kredit kort betaling via Internettet og tilmelding hvor… …   Danske encyklopædi

  • HTTPS —   [Abk. für HTTP Secure, dt. »sicheres HTTP«], eine Variante des Übertragungsprotokolls HTTP, die eine Datenverschlüsselung anwendet. Dabei wird das Protokoll SSL benutzt …   Universal-Lexikon

  • HTTPS — (Secure Hypertext Transfer Protocol) protocol for the World Wide Web that provides safe data transmission by encrypting and decrypting information sent over the Internet (Computers) …   English contemporary dictionary

  • Https — Hypertext Transfer Protocol Pile de protocoles 7 • Application 6 • Présentation 5 • Session 4 • …   Wikipédia en Français

  • Https — Hypertext Transfer Protocol over Secure Socket Layer or HTTPS is a URI scheme used to indicate a secure HTTP connection. It is syntactically identical to the http:// scheme normally used for accessing resources using HTTP. Using an https: URL… …   Wikipedia

  • HTTPS — Versión segura del protocolo HTTP. El sistema HTTPS utiliza un cifrado basado en las Secure Socket Layers (SSL) para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado …   Enciclopedia Universal

  • https — ● ►en sg. m. ►PROTINET Voir HTTPS (mais l usage veut que l on écrive les URL de préférence en minuscules...) …   Dictionnaire d'informatique francophone

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”