Comment rester sécurisé online avec les empreintes HTTPS ?

By | July 14, 2016

Comment rester sécurisé online avec les empreintes HTTPS?

Bien que des applications comme WOT, McAfee Site Advisor s’avèrent très éfficaces pour s’assurer de la fiabilité d’un site, ces applications ne peuvent être d’aucune utilité dans certains cas de figure. Notamment si vous êtes victime d’une attaque ciblée d’un hacker. Nous y reviendrons, mais pour bien saisir de quoi il s’agit, il faut connaitre les bases, pour cela je vous renvoi à l’article Comment fonctionne le HTTPS?

La communication via HTTPS, infaillible ?

Ce système de communication est assez sécurisé, mais dans les systèmes de technologie informatique, rien se semble infaillible. Hélas!

L’une des attaques les plus connues pour intercepter des informations malgré le protocole HTTPS est le “Man In the Middle (MitM)”. Dans ce type d’attaque un hacker peut se glisser dans votre communication via HTTPS et faire croire à votre ordinateur qu’il est le serveur et au serveur qu’il est votre ordinateur. Le hacker, “l’homme du milieu” signe des certificats et les délivre à votre ordinateur.
Si votre navigateur est paré contre cette faille, soit la connection sécurisée vers un site Web ne se fera pas ou vous verrez un avertissement (image ci-dessous), car le certificat délivré n’appartient à aucune Autorité de Certification connue de votre navigateur, mais à un individu qui s’est intercalé dans votre communication.

https-certificat-non-valide

Les anciennes versions de navigateur (surtout Internet Explorer) sont vulnérables à ces attaques, par contre les navigateurs tels que Chrome ou Mozilla sont armés contre cette faille.

Une autre variante du MitM consiste à installer un certificat (à l’insu de l’utilisateur) dans un système, lui faisant croire que le signataire de ce certificat est une autorité valide. Ainsi, si une entité (qui a signé ce certificat) venait à s’intercaler dans une communication sécurisée, le navigateur client considerera comme valide tous les certificats signés par cette entité. Dans ce type d’attaque, du côté utilisateur, vous n’apercevrez pas de message d’avertissement (comme montré plus haut) et tout vous semblera normal.

Des vulnérabilités qui peuvent permettre des attaques du type MitM sont toujours découvertes.
Pour se protéger contre les MitM (ou réduire les chances de succès d’attaque MitM), mettez quotidiennement à jour vos logiciels ou utilisez leurs versions les plus récentes.


Comment s’assurer de l’authenticité du site dès lors?

Pour rémedier aux attaques MitM, il existe un service créé par Steve Gibson _ un chercheur américain dans la sécurité informatique _ sur son site: Grc.com/fingerprint. Ce service permet de vérifier les empreintes (les hashes) des clés publiques des sites Web (vidéo ci-dessous). Son service est connecté directement à l’Internet, et aucune tierce partie n’intervient.

Si vous n’avez pas confiance en ce service ou si vous voulez une autre alternative, vous n’aurez qu’à noter les hashes des clés publiques des sites que vous fréquentez le plus et les vérifier à chaque fois que vous aurez des doutes.

Pour consulter l’empreinte HTTPS d’un site Web sur Mozilla Firefox, il vous suffit de suivre ces étapes :

etape-1-obtention-empreinte

etape-2-obtention-empreinte

etape-3-obtention-empreinte

etape-4-obtention-empreinte

etape-5-obtention-empreinte

L’Internet est un univers ‘’très très TRES’’ non sécurisé. Loin d’être de la paranoïa, il s’agit de faire attention à l’endroit où vous vous connecter, sur quelle site vous vous connectez et surtout avec quel navigateur vous vous connectez.

Et vous? Utilisez vous d’autres astuces pour vérifier l’authenticité et la fiabilité des sites Web? Nous vous invitons à partager en commentaire.

Salute!

mdestroy


Sources:

Wikipédia

Comment vérifier l’authenticité d’un site web utilisant le HTTPS?

Leave a Reply

Your email address will not be published. Required fields are marked *