CheckMyHTTPS est un projet open source français censé, sur demande, indiquer à l’utilisateur si sa connexion est surveillée ou non via une attaque de type « Man-In-The-Middle » (MITM). Lorsque l’on navigue sur le Web, le petit cadenas (souvent vert) affiché par votre navigateur indique que la communication est « sécurisée ». Si ce cadenas rassure l’ensemble des néophytes, il n’est en réalité pas si complexe à usurper. Les attaques MITM appliquées au protocole TLS/SSL permettent d’espionner les communications, tout en gardant ce cadenas activé fournissant ainsi seulement un sentiment de sécurité. Néanmoins, nous avons trouvé comment un attaquant pourrait mettre à mal cette sécurité en utilisant précisément l’attaque dont il cherche à se prémunir. CheckMyHTTPS est un exemple de produit procurant une fausse illusion de sécurité parce qu’il est en retard sur les technologies modernes.
Le protocole SSL (Secure Sockets Layer), inventé et déployé pour la première fois au milieu des années 90, a montré le chemin de la confidentialité des échanges sur le Web. Remplacé depuis la fin des années 90 par le Transport Layer Security (TLS), ces deux protocoles ont pour but d’assurer la confidentialité et l’authentification entre un client et un serveur web. C’est via le protocole HTTPS (HTTP + TLS) que nous accédons aujourd’hui à la majorité des sites web les plus visités au monde [1]. Malgré quelques attaques éparses et rapidement contrées [2], il n’est pas possible d’espionner vos mots de passe grâce au TLS qui en assure la confidentialité la plus parfaite.
Néanmoins, pour le moment, les attaquants ont l’avantage ! En effet, s’il n’est pas possible d’espionner une communication sécurisée avec TLS après sa mise en place, il n’est pas impossible de leurrer l’utilisateur et d’intercepter l’ensemble de ses échanges. Le...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première