Privacy Policy Cookie Policy Terms and Conditions

[HOME PAGE] [STORES] [CLASSICISTRANIERI.COM] [FOTO] [YOUTUBE CHANNEL]


HyperText Transfer Protocol Secure

HyperText Transfer Protocol Secure
Cet article est incomplet dans son développement ou dans l’expression des concepts et des idées.
Son contenu est donc à considérer avec précaution. Améliorez l’article ou discutez-en.
HyperText Transfer Protocol Secure
Fonction Transmission d'hypertexte
Sigle HTTPS
Date de création 1994[1]
Port 443
RFC 2000 : RFC 2818
modifier 

L'HyperText Transfer Protocol Secure, plus connu sous l'abréviation HTTPS — littéralement « protocole de transfert hypertexte sécurisé » — est la combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS.

HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentification client.

HTTPS est généralement utilisé pour les transactions financières en ligne : commerce électronique, banque en ligne, courtage en ligne, etc. Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques, par exemple.

Depuis le début des années 2010, le HTTPS s'est également généralisé sur les réseaux sociaux.

Par défaut, les serveurs HTTPS sont connectés au port TCP 443.

Historique

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue !

Implémentation

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue !

HTTPS et piratage

La sécurité des informations transmises par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité.

Partant du principe que les internautes précisent rarement le type de protocole dans les URL (le protocole HTTP étant sélectionné par défaut) et se contentent de suivre des liens, un chercheur en sécurité informatique, connu sous le pseudonyme de Moxie Marlinspike, a développé une attaque du type Attaque de l'homme du milieu (« Man in the middle » en anglais), afin de contourner le chiffrement de HTTPS[2]. Le pirate se positionne entre le client et le serveur et change les liens https: en http:, ainsi le client envoie ses informations en clair via le protocole HTTP et non HTTPS[3]. Ce type d'attaque a été présenté par Marlinspike à la Blackhat Conference 2009. Durant cette conférence, Marlinspike a non seulement présenté le fonctionnement de l'attaque, mais également quelques statistiques d'utilisation. Il a réussi à récupérer plusieurs centaines d'identifiants, informations personnelles et numéros de cartes bancaires en 24 heures, aucune personne ne se doutant de l'attaque en cours[2].

Une autre attaque de type Man in the middle a pu être mise en œuvre en juillet 2011[4], par l'obtention frauduleuse de certificats valides auprès de l'ancienne autorité de certification DigiNotar, piratée. Cette attaque fut utilisée pour mettre en place de faux sites Google (certificat frauduleux pour les domaines *.google.com) et ainsi espionner la consultation de plusieurs comptes GMail d'utilisateurs iraniens.

En septembre 2011, Duong et Rizzo, deux chercheurs en sécurité informatique, ont présenté à la Ekoparty Security Conference un nouveau type d'attaque, basé cette fois sur le décryptage des paquets transmis sur le réseau. Cette attaque utilise une vulnérabilité du chiffrage Cipher Block Chaining du protocole TLS 1.0, connue de longue date. Pour exploiter cette vulnérabilité, il s'agit d'insérer dans la page consultée un code Javascript communiquant la valeur du cookie de session à un sniffer de paquets réseau, afin de l'utiliser pour décrypter le reste de la communication[réf. nécessaire].

Seuls les sites supportant la version de chiffrage TLS 1.0 sont affectés par cette vulnérabilité ; cependant à la date de septembre 2011, cela concerne l'immense majorité des sites du fait de la réticence des sites et navigateurs à mettre en application les versions TLS 1.1 et 1.2[5].

HTTPS et NSA

En septembre 2013, plusieurs journaux révèlent, grâce aux documents fournis par Edward Snowden, que la NSA, via son programme Bullrun, cherche à casser ou affaiblir le protocole HTTPS ou ses mises en œuvre par les constructeurs de matériel et de logiciel, rendant accessible en clair aux services américains de nombreuses communications pourtant chiffrées[6].

Fin 2013, une vulnérabilité visant tous les appareils Apple sous iOS 6 / 7 et Mac OS X 10.9 a été corrigée par la firme, permettant à ceux qui ont eu le moyen de l'exploiter de corrompre le chiffrement HTTPS ou plus particulièrement les technologies TLS / SSL. Certaines rumeurs laissent entendre que cette vulnérabilité aurait été utilisée par la NSA dans leur programme DROPOUT JEEP[7].

HSTS

Article détaillé : HTTP Strict Transport Security.

HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web) compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l'agent utilisateur par le serveur, via la réponse HTTP, dans le champ d'entête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l'agent utilisateur doit accéder au serveur uniquement de façon sécurisée.

Références

  1. « Introduction to SSL », sur Google Livre, (consulté le 4 novembre 2014)
  2. 1 2 https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf.
  3. http://www.orange-business.com/fr/blogs/securite/webtech/https-pwned
  4. http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/.
  5. http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/page2.html.
  6. Le Monde.fr, « Affaire Snowden : comment la NSA déjoue le chiffrement des communications », sur Le Monde.fr, (consulté le 6 septembre 2013).
  7. (en) .

Articles connexes

  • Portail de l’informatique
  • Portail des télécommunications
  • Portail de la sécurité informatique
This article is issued from Wikipédia - version of the Wednesday, October 07, 2015. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.
Contents Listing Alphabetical by Author:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Unknown Other

Contents Listing Alphabetical by Title:
# A B C D E F G H I J K L M N O P Q R S T U V W Y Z Other

Medical Encyclopedia

Browse by first letter of topic:

A-Ag Ah-Ap Aq-Az B-Bk Bl-Bz C-Cg Ch-Co
Cp-Cz D-Di Dj-Dz E-Ep Eq-Ez F G
H-Hf Hg-Hz I-In Io-Iz J K L-Ln
Lo-Lz M-Mf Mg-Mz N O P-Pl Pm-Pz
Q R S-Sh Si-Sp Sq-Sz T-Tn To-Tz
U V W X Y Z 0-9

Biblioteca - SPANISH

Biblioteca Solidaria - SPANISH

Bugzilla

Ebooks Gratuits

Encyclopaedia Britannica 1911 - PDF

Project Gutenberg: DVD-ROM 2007

Project Gutenberg ENGLISH Selection

Project Gutenberg SPANISH Selection

Standard E-books

Wikipedia Articles Indexes

Wikipedia for Schools - ENGLISH

Wikipedia for Schools - FRENCH

Wikipedia for Schools - SPANISH

Wikipedia for Schools - PORTUGUESE

Wikipedia 2016 - FRENCH

Wikipedia HTML - CATALAN

Wikipedia Picture of the Year 2006

Wikipedia Picture of the Year 2007

Wikipedia Picture of the Year 2008

Wikipedia Picture of the Year 2009

Wikipedia Picture of the Year 2010

Wikipedia Picture of the Year 2011