Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS

Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS

Tout comme Chrome et Firefox 4.0

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

18/02/2015 4 minutes
22

Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS

Le mécanisme HSTS va faire son entrée dans la nouvelle version d’Internet Explorer et dans Spartan, tous deux en développement au sein de Windows 10. Il s’agit d’un ajout important pour la sécurité, mais si d’un côté on se réjouira que l’éditeur renforce les défenses de l’internaute, on pourra également lui faire remarquer qu’il n’est pas spécialement en avance sur la question.

HSTS permet aux navigateurs d'imposer des politiques de sécurité

HSTS, pour HTTP Strict Transport Security, est un mécanisme permettant de définir des politiques de sécurité sur des serveurs. Le principe de fonctionnement est relativement simple : un serveur déclare à un navigateur qu’il souhaite établir une connexion en fonction de critères précis, au risque de la refuser complètement. Par exemple, le site d’une banque peut informer le navigateur que la connexion doit être obligatoirement chiffrée.

Mais HSTS permet surtout d’empêcher les pages de mixer les éléments sécurisés et non sécurisés, ce qui arrive régulièrement. Si le navigateur détecte qu’une politique est active sur le serveur, les liens non sécurisés seront remplacés par des liens sécurisés, en forçant par exemple le passage à HTTPS. La conséquence est que l’internaute est normalement protégée contre les attaques de type « man-in-the-middle », dans lequel un pirate peut par exemple intercepter des données sensibles.

Une implémentation dans le nouvel Internet Explorer et Spartan

Et justement, la Technical Preview 2 de Windows 10, disponible depuis le mois dernier, contient une implémentation de HSTS dans Internet Explorer, ou tout du moins dans la nouvelle version en développement. On rappellera en effet que le futur système sera fourni avec deux navigateurs, dont celui que l’on connait, et un autre, Spartan, entièrement neuf. Ce dernier incorporera également HSTS, mais on ne pourra l’utiliser que dans une prochaine mise à jour.

Dans un billet publié lundi, Microsoft explique les bénéfices de HSTS, notamment sa capacité à empêcher un pirate d’exploiter une connexion non sécurisée avant que le site ne redirige l’utilisateur vers une connexion sécurisée, lui permettant alors de le réorienter vers un site malveillant. Et d’insister en vantant les mérites d’un mécanisme qui aide à proposer des connexions chiffrées de bout en bout.

Chrome, Firefox et Opera gèrent HSTS depuis des années

Microsoft explique également que les sites ont deux manières de faire appel à HSTS. La première est de contacter directement l’éditeur du navigateur pour que l’adresse y soit codée « en dur ». En d’autres termes, Internet Explorer, tout comme Chrome ou Firefox, possède déjà la politique à appliquer pour le site avant même que ce dernier ne soit consulté. La seconde est d’envoyer vers le navigateur un en-tête HTTP spécifique (Strict-Transport-Security) pour l’informer de ce qui est attendu.

Mais même si le mouvement de Microsoft va forcément dans la bonne direction puisque la sécurité en sera renforcée, il ne faut pas oublier que le mécanisme HSTS n’est en rien nouveau. Chrome le prend en charge par exemple depuis sa version 4.0, tout comme Firefox d’ailleurs. Le navigateur de Mozilla possède la fameuse liste interne depuis sa mouture 17, et Opera gère depuis sa version 12. Internet Explorer est donc en retard de plusieurs années, mais Microsoft sous-entend dans son billet qu’il s’agit d’une suite logique à sa « mise au pas » sur un critère qui semble animer l’entreprise désormais : l’interopérabilité.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

HSTS permet aux navigateurs d'imposer des politiques de sécurité

Une implémentation dans le nouvel Internet Explorer et Spartan

Chrome, Firefox et Opera gèrent HSTS depuis des années

Commentaires (22)


HSTS qui peut être détourné de son usage pour pister l’utilisateur, même en mode de navigation “privée”.



Je lance le chrono: à cette date seul Firefox essaie de contrer cette possibilité d’abus de la fonction. En quelle année Chrome, Safari et I.E. en feront autant?



Indice: de Google, Apple et la fondation Mozilla, seul Mozilla n’a à ce jour aucun intérêt financier direct et affiché à exploiter/revendre les infos sur vos habitudes de surf. Quand à la réactivité de Microsoft, l’article qui précède résume bien la situation.







/troll


Très bonne nouvelle. Encore faut-il que les banque prennent en charge HSTS. Et ce n’est pas la cas de la BNP, du CIC, de la Banque Postale et probablement d’autres banques encore. Au passage, ça craint un peu, le site de la banque psotale est vulnérable à la faille POODLE qui date quand même de plus de 4 mois. Ça craint …


En fait leCrédit mutuel, le Crédit lyonnais et le crédit agricole ne prennent pas non plus en charge le mécanisme …


MS en retard sur ses concurrents dans le domaine des navigateurs ?

Jamais de la vie.



PCI est un repère de pro-Apple et pro-Google. Honte sur vous M. Herrmann pour ces allegations diffamatoires.


Faut dire que HSTS est plutôt contraignant et je comprends si certains admin sys et/ou DSI rechignent à le déployer <img data-src=" />








pamputt a écrit :



En fait leCrédit mutuel, le Crédit lyonnais et le crédit agricole ne prennent pas non plus en charge le mécanisme …



Et en plus c’est des trucs de crédit <img data-src=" />









Drepanocytose a écrit :



MS en retard sur ses concurrents dans le domaine des navigateurs ?

Jamais de la vie.



PCI est un repère de pro-Apple et pro-Google. Honte sur vous M. Herrmann pour ces allegations diffamatoires.







J’allais le dire. Ce n’est pas pour rien que Windows et IE ont les meilleures parts de marché quand même hein !









Konrad a écrit :



J’allais le dire. Ce n’est pas pour rien que Windows et IE ont les meilleures parts de marché quand même hein !





C’est la vente-liée, les pratiques anticoncurrentielles et le formatage des peuples au système unique qu’on vous dit !&nbsp;<img data-src=" />



T’as vérifié qu’ils étaient en effet vulnérables ? Avoir le SSLv3 activé ne veut pas dire que tu es vulnérable…


Il y a d’autres mécanismes de vérification de l’identité pour les sites de banque que tu liste …








Cedrix a écrit :



T’as vérifié qu’ils étaient en effet vulnérables ? Avoir le SSLv3 activé ne veut pas dire que tu es vulnérable…





En l’occurrence, le site de la banque postale est (serait ?) vulnérable à POODLE via TLS et non SSL3.



AtomicBoy44 a écrit :



Il y a d’autres mécanismes de vérification de l’identité pour les sites de banque que tu liste …





Je ne suis pas sûr de comprendre ce que tu veux dire par « vérification de l’identité ».



Factuellement IE est en retard sur cette fonctionnalité précise, c’est tout. Je ne vois pas où Vincent dit que tout le navigateur est obsolète. Pas besoin d’extrapoler pour s’énerver pour rien&nbsp;<img data-src=" />


Ca n’est pas pcq le protocole est ouvert que tues vulnérable. Qu’est ce qui t’empêche, au moment du handshake, de rediriger ton client en fonction du protocole ?


Oh il ne s’énerve pas, il trolle bêtement et me cherche des poux, as usual&nbsp;<img data-src=" />








Vincent_H a écrit :



Oh il ne s’énerve pas, il trolle bêtement et me cherche des poux, as usual <img data-src=" />







D’un autre coté l’angle de l’article est assez particulier.



Pourquoi passer presque la moitié de l’article sur le fait que IE est le dernier à le mettre en place, alors qu’aucun autre article n’a évoqué la mise en place de ce protocole sur les autres navigateurs.



Cela me donne l’impression que tu prends des pincettes géantes, afin que l’on ne vienne pas te dire, gna gna gna, ça existe sur machin 32 depuis 5 ans etc.



Alors certes, c’est normal de l’évoquer, mais au final, c’est presque tout ce qui reste de l’article, alors que comme dit plus haut, le sujet n’a pas été évoqué lors de la mise en place sur les autres navigateurs…



Parce que ça date de plusieurs années et que le contexte était alors très différent. Depuis deux ans maintenant, on ne parle plus que de sécurité, ce qui n’était pas encore le cas de la sortie de Firefox 4.0 par exemple. Et puisque le contexte a changé, la manière dont la lumière est jetée sur les mouvements des éditeurs a une importance plus élevée dans ce domaine. D’où le fait qu’il est important de dire qu’IE et Spartan vont gérer HSTS, et qu’il est tout aussi important de rappeler que d’autres le font déjà.



Quant au fait de passer “la moitié de l’article” à parler de retard, je trouve à “légèrement” exagéré puisque la majorité du texte est consacrée aux apports du mécanisme lui-même&nbsp;<img data-src=" />








Vincent_H a écrit :



Quant au fait de passer “la moitié de l’article” à parler de retard, je trouve à “légèrement” exagéré puisque la majorité du texte est consacrée aux apports du mécanisme lui-même <img data-src=" />







En effet, ça dépasse pas le Tiers :-)



<img data-src=" />


Émission “La tête au carré” avec Louis Pouzin, un contributeur aux proto-internets dans les annees 1970 :



http://www.franceinter.fr/emission-la-tete-au-carre-des-debuts-de-linternet-au-p…



Si NextImpact veut bien faire un article sur l’initiative “open route” pour se passer de l’ICANN, ce sujet m’intéresse.








nigol a écrit :



Émission “La tête au carré” avec Louis Pouzin, un contributeur aux proto-internets dans les annees 1970 :



http://www.franceinter.fr/emission-la-tete-au-carre-des-debuts-de-linternet-au-p…



Si NextImpact veut bien faire un article sur l’initiative “open route” pour se passer de l’ICANN, ce sujet m’intéresse.







Quitte à demander quelque chose tu pourrais écrire correctement Next INpact <img data-src=" />









Vincent_H a écrit :



Oh il ne s’énerve pas, il trolle bêtement et me cherche des poux, as usual <img data-src=" />





Mais non, mais non <img data-src=" />



Bon pour êter honnête, je t’avoue que j’aurais bien aimé voir une petite analyse de ce qu’a apporté HSTS pour les autres navigateurs, d’eventuels soucis constatés sur IE parce que justement les anciennes versions n’implémentent pas HSTS, etc.



Difficile de savoir pour l’instant, ça vient à peine d’arriver et en version bêta en plus.