Le mécanisme HSTS va faire son entrée dans la nouvelle version d’Internet Explorer et dans Spartan, tous deux en développement au sein de Windows 10. Il s’agit d’un ajout important pour la sécurité, mais si d’un côté on se réjouira que l’éditeur renforce les défenses de l’internaute, on pourra également lui faire remarquer qu’il n’est pas spécialement en avance sur la question.
HSTS permet aux navigateurs d'imposer des politiques de sécurité
HSTS, pour HTTP Strict Transport Security, est un mécanisme permettant de définir des politiques de sécurité sur des serveurs. Le principe de fonctionnement est relativement simple : un serveur déclare à un navigateur qu’il souhaite établir une connexion en fonction de critères précis, au risque de la refuser complètement. Par exemple, le site d’une banque peut informer le navigateur que la connexion doit être obligatoirement chiffrée.
Mais HSTS permet surtout d’empêcher les pages de mixer les éléments sécurisés et non sécurisés, ce qui arrive régulièrement. Si le navigateur détecte qu’une politique est active sur le serveur, les liens non sécurisés seront remplacés par des liens sécurisés, en forçant par exemple le passage à HTTPS. La conséquence est que l’internaute est normalement protégée contre les attaques de type « man-in-the-middle », dans lequel un pirate peut par exemple intercepter des données sensibles.
Une implémentation dans le nouvel Internet Explorer et Spartan
Et justement, la Technical Preview 2 de Windows 10, disponible depuis le mois dernier, contient une implémentation de HSTS dans Internet Explorer, ou tout du moins dans la nouvelle version en développement. On rappellera en effet que le futur système sera fourni avec deux navigateurs, dont celui que l’on connait, et un autre, Spartan, entièrement neuf. Ce dernier incorporera également HSTS, mais on ne pourra l’utiliser que dans une prochaine mise à jour.
Dans un billet publié lundi, Microsoft explique les bénéfices de HSTS, notamment sa capacité à empêcher un pirate d’exploiter une connexion non sécurisée avant que le site ne redirige l’utilisateur vers une connexion sécurisée, lui permettant alors de le réorienter vers un site malveillant. Et d’insister en vantant les mérites d’un mécanisme qui aide à proposer des connexions chiffrées de bout en bout.
Chrome, Firefox et Opera gèrent HSTS depuis des années
Microsoft explique également que les sites ont deux manières de faire appel à HSTS. La première est de contacter directement l’éditeur du navigateur pour que l’adresse y soit codée « en dur ». En d’autres termes, Internet Explorer, tout comme Chrome ou Firefox, possède déjà la politique à appliquer pour le site avant même que ce dernier ne soit consulté. La seconde est d’envoyer vers le navigateur un en-tête HTTP spécifique (Strict-Transport-Security) pour l’informer de ce qui est attendu.
Mais même si le mouvement de Microsoft va forcément dans la bonne direction puisque la sécurité en sera renforcée, il ne faut pas oublier que le mécanisme HSTS n’est en rien nouveau. Chrome le prend en charge par exemple depuis sa version 4.0, tout comme Firefox d’ailleurs. Le navigateur de Mozilla possède la fameuse liste interne depuis sa mouture 17, et Opera gère depuis sa version 12. Internet Explorer est donc en retard de plusieurs années, mais Microsoft sous-entend dans son billet qu’il s’agit d’une suite logique à sa « mise au pas » sur un critère qui semble animer l’entreprise désormais : l’interopérabilité.
