Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS

Tout comme Chrome et Firefox 4.0
Logiciel 3 min
Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS
Crédits : maxkabakov/iStock/Thinkstock

Le mécanisme HSTS va faire son entrée dans la nouvelle version d’Internet Explorer et dans Spartan, tous deux en développement au sein de Windows 10. Il s’agit d’un ajout important pour la sécurité, mais si d’un côté on se réjouira que l’éditeur renforce les défenses de l’internaute, on pourra également lui faire remarquer qu’il n’est pas spécialement en avance sur la question.

HSTS permet aux navigateurs d'imposer des politiques de sécurité

HSTS, pour HTTP Strict Transport Security, est un mécanisme permettant de définir des politiques de sécurité sur des serveurs. Le principe de fonctionnement est relativement simple : un serveur déclare à un navigateur qu’il souhaite établir une connexion en fonction de critères précis, au risque de la refuser complètement. Par exemple, le site d’une banque peut informer le navigateur que la connexion doit être obligatoirement chiffrée.

Mais HSTS permet surtout d’empêcher les pages de mixer les éléments sécurisés et non sécurisés, ce qui arrive régulièrement. Si le navigateur détecte qu’une politique est active sur le serveur, les liens non sécurisés seront remplacés par des liens sécurisés, en forçant par exemple le passage à HTTPS. La conséquence est que l’internaute est normalement protégée contre les attaques de type « man-in-the-middle », dans lequel un pirate peut par exemple intercepter des données sensibles.

Une implémentation dans le nouvel Internet Explorer et Spartan

Et justement, la Technical Preview 2 de Windows 10, disponible depuis le mois dernier, contient une implémentation de HSTS dans Internet Explorer, ou tout du moins dans la nouvelle version en développement. On rappellera en effet que le futur système sera fourni avec deux navigateurs, dont celui que l’on connait, et un autre, Spartan, entièrement neuf. Ce dernier incorporera également HSTS, mais on ne pourra l’utiliser que dans une prochaine mise à jour.

Dans un billet publié lundi, Microsoft explique les bénéfices de HSTS, notamment sa capacité à empêcher un pirate d’exploiter une connexion non sécurisée avant que le site ne redirige l’utilisateur vers une connexion sécurisée, lui permettant alors de le réorienter vers un site malveillant. Et d’insister en vantant les mérites d’un mécanisme qui aide à proposer des connexions chiffrées de bout en bout.

Chrome, Firefox et Opera gèrent HSTS depuis des années

Microsoft explique également que les sites ont deux manières de faire appel à HSTS. La première est de contacter directement l’éditeur du navigateur pour que l’adresse y soit codée « en dur ». En d’autres termes, Internet Explorer, tout comme Chrome ou Firefox, possède déjà la politique à appliquer pour le site avant même que ce dernier ne soit consulté. La seconde est d’envoyer vers le navigateur un en-tête HTTP spécifique (Strict-Transport-Security) pour l’informer de ce qui est attendu.

Mais même si le mouvement de Microsoft va forcément dans la bonne direction puisque la sécurité en sera renforcée, il ne faut pas oublier que le mécanisme HSTS n’est en rien nouveau. Chrome le prend en charge par exemple depuis sa version 4.0, tout comme Firefox d’ailleurs. Le navigateur de Mozilla possède la fameuse liste interne depuis sa mouture 17, et Opera gère depuis sa version 12. Internet Explorer est donc en retard de plusieurs années, mais Microsoft sous-entend dans son billet qu’il s’agit d’une suite logique à sa « mise au pas » sur un critère qui semble animer l’entreprise désormais : l’interopérabilité.

22 commentaires
Avatar de DetunizedGravity Abonné
Avatar de DetunizedGravityDetunizedGravity- 18/02/15 à 16:25:59

HSTS qui peut être détourné de son usage pour pister l'utilisateur, même en mode de navigation "privée".

Je lance le chrono: à cette date seul Firefox essaie de contrer cette possibilité d'abus de la fonction. En quelle année Chrome, Safari et I.E. en feront autant?

Indice: de Google, Apple et la fondation Mozilla, seul Mozilla n'a à ce jour aucun intérêt financier direct et affiché à exploiter/revendre les infos sur vos habitudes de surf. Quand à la réactivité de Microsoft, l'article qui précède résume bien la situation.

...

/troll

Avatar de pamputt Abonné
Avatar de pamputtpamputt- 18/02/15 à 16:30:09

Très bonne nouvelle. Encore faut-il que les banque prennent en charge HSTS. Et ce n'est pas la cas de la BNP, du CIC, de la Banque Postale et probablement d'autres banques encore. Au passage, ça craint un peu, le site de la banque psotale est vulnérable à la faille POODLE qui date quand même de plus de 4 mois. Ça craint ...

Avatar de pamputt Abonné
Avatar de pamputtpamputt- 18/02/15 à 16:38:56

En fait leCrédit mutuel, le Crédit lyonnais et le crédit agricole ne prennent pas non plus en charge le mécanisme ...

Édité par pamputt le 18/02/2015 à 16:39
Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 18/02/15 à 16:56:50

MS en retard sur ses concurrents dans le domaine des navigateurs ?
Jamais de la vie.

PCI est un repère de pro-Apple et pro-Google. Honte sur vous M. Herrmann pour ces allegations diffamatoires.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 18/02/15 à 17:12:04

Faut dire que HSTS est plutôt contraignant et je comprends si certains admin sys et/ou DSI rechignent à le déployer :chinois:

Édité par John Shaft le 18/02/2015 à 17:13
Avatar de Danytime INpactien
Avatar de DanytimeDanytime- 18/02/15 à 17:39:13

pamputt a écrit :

En fait leCrédit mutuel, le Crédit lyonnais et le crédit agricole ne prennent pas non plus en charge le mécanisme ...

Et en plus c'est des trucs de crédit :craint:

Avatar de Konrad INpactien
Avatar de KonradKonrad- 18/02/15 à 18:01:05

Drepanocytose a écrit :

MS en retard sur ses concurrents dans le domaine des navigateurs ?
Jamais de la vie.

PCI est un repère de pro-Apple et pro-Google. Honte sur vous M. Herrmann pour ces allegations diffamatoires.

J'allais le dire. Ce n'est pas pour rien que Windows et IE ont les meilleures parts de marché quand même hein !

Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 18/02/15 à 19:44:58

Konrad a écrit :

J'allais le dire. Ce n'est pas pour rien que Windows et IE ont les meilleures parts de marché quand même hein !

C'est la vente-liée, les pratiques anticoncurrentielles et le formatage des peuples au système unique qu'on vous dit ! :windu:

Avatar de Cedrix INpactien
Avatar de CedrixCedrix- 18/02/15 à 22:21:42

T'as vérifié qu'ils étaient en effet vulnérables ? Avoir le SSLv3 activé ne veut pas dire que tu es vulnérable...

Avatar de anonyme_f9593869f4eb271ddcfedc462e8d0f69 INpactien

Il y a d'autres mécanismes de vérification de l'identité pour les sites de banque que tu liste ...

Édité par AtomicBoy44 le 19/02/2015 à 00:26
Il n'est plus possible de commenter cette actualité.
Page 1 / 3