Accéder au contenu principal

Microsoft ajoute le support de HSTS à Internet Explorer

Avec Windows 10, Internet Explorer intègre le mécanisme HSTS qui permet d'éviter les attaques de type man-in-the-middle conduisant à dégrader les connexions chiffrées https. Les navigateurs concurrents supportent cette fonctionnalité depuis plusieurs années.
Il aura fallu attendre Windows 10 pour qu'Internet Explorer supporte enfin le mécanisme de sécurité HSTS. Cette fonctionnalité « http Strict Transport Security » peut être testée sur IE dans la Technical Preview de Windows 10. Elle sera ultérieurement ajoutée au projet de navigateur Spartan, explique Microsoft dans un billet. Google l'avait pris en compte dans Chrome dès 2009, Firefox en 2010, Opera en 2012 et Safari en 2013. Internet Explorer est donc le dernier navigateur important à supporter HSTS, et cela ne concerne même pas toutes les versions...


Le mécanisme HSTS établi par l'IETF a été conçu pour se prémunir des attaques « SSL stripping » dans lesquelles les pirates interceptent le flux d'un utilisateur pour dégrader sa connexion https, qui
comporte un chiffrement SSL, vers une simple connexion http. Ce type d'attaque est facile à réaliser. On intercepte la requête d'un utilisateur vers un site https et on la bloque. Puis on établit une connexion chiffrée avec le site lui-même, pour le compte de la victime, et on retourne à celle-ci les réponses sur une connexion http. A ce stade, le site web ne se rend pas compte que quelque chose cloche parce que, de son côté, il voit une connexion chiffrée venant d'un utilisateur. Il s'agit en fait de celle du hacker qui joue un rôle de proxy.

Les internautes, eux, ne voient plus l'indicateur https dans leur barre d'adresse, ni l'icône de verrouillage, mais la plupart d'entre eux ne vont pas vérifier ces éléments une deuxième fois. L'attaquant attend donc que la première requête s'effectue puis il dégrade la connexion. HSTS règle ce problème en permettant aux sites de signaler aux navigateurs qu'ils doivent toujours se connecter via https. Cette exigence est communiquée par l'intermédiaire d'un en-tête envoyé dans une réponse. Une fois que le navigateur voit cet en-tête pour un site, il se souviendra de cette préférence et, dès lors, n'acceptera que les connexions https pour ce site.

Une liste préchargée des sites les plus populaires

Comme les autres navigateurs, IE sera fourni avec la liste des sites les plus populaires pour lesquels la politique HSTS sera mise en place par défaut. Ces listes sont nécessaires parce qu'il reste toujours une possibilité d'attaque SSL lors de la toute première requête envoyée. De fait, pour connaître la politique HSTS d'un site, le navigateur doit d'abord s'y connecter. Mais si un attaquant se tient prêt à intercepter le trafic, il peut immédiatement enlever l'en-tête Strict-Transport-Security de la réponse faite par le site et le navigateur n'en saura jamais rien. Internet Explorer utilisera la même liste préchargée utilisée par le navigateur Open Source Chromium. Les sites peuvent s'y enregistrer.

Ce mécanisme de sécurité peut avoir un impact sur la navigation. Par exemple, dans certains cas, IE autorise les utilisateurs à ne pas tenir compte de certaines erreurs de certificats pour forcer l'ouverture d'un site. Si ce genre d'erreurs se produit avec un site HSTS, ils ne pourront plus le faire. La connexion sera refusée. De la même façon, certains sites utilisant https pourront aussi charger des contenus tiers via une connexion http.

source : http://www.lemondeinformatique.fr/actualites/lire-microsoft-ajoute-le-support-de-hsts-a-internet-explorer-60288.html

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des applica…
Enregistrer un commentaire
Lire la suite

Sécurité informatique : peut-on faire appel au Big Data ?

Jusqu’à présent, le sujet des Big datas n’était qu’un sujet d’actualité, un sujet à la mode. Mais de plus en plus d’entreprises ont saisi cette opportunité, les grandes entreprises, à hauteur de 30% mais aussi, les PME, à hauteur de 12%, selon une étude réalisée par l’éditeur SAS. Car le Big Data n’en fini pas de faire rêver tant les opportunités sont importantes. De l’analyse des données clients, à la simulation des flux d’achats et des habitudes de dépenses, les possibilités d’utilisation et d’interrogations des données sont riches en déclinaisons. Mais qui dit “Big Data” dit également problématiques de sécurité. Car avec les Big Data, le périmètre de l’entreprise s’est élargi du point de vue des entrées et des sorties des données avec des utilisateurs plus mobiles, des données qui transitent par Internet et le Cloud Computing et le Saas qui repositionnent le SI hors de l’entreprise.
Enregistrer un commentaire
Lire la suite

De nombreux utilisateurs de TeamViewer victimes de piratages

De nombreux utilisateurs ont été victimes de piratages au travers du logiciel TeamViewer. Selon les responsables du logiciel la brèche ne viendrait pas de leur système. Depuis plusieurs jours, des utilisateurs de TeamViewer, un logiciel permettant de prendre le contrôle à distance d’un autre ordinateur, se plaignent d’être victimes de piratages. Cependant le problème ne viendrait pas du logiciel lui-même mais du vol d’identifiants et de mots de passe sur d’autres services tels que Tumblr, Myspace ou encore Linkedin.
TeamViewer au cœur de plusieurs piratages La semaine dernière, TeamViewer a connu des problèmes de fonctionnement. Le logiciel a en fait été victime d’une attaque DDOS de grande ampleur qui a paralysé son système pendant quelques heures. Suite à cette attaque, certains utilisateurs se sont plaints d’avoir subi une intrusion dans leur ordinateur, des pirates auraient réussi à prendre le contrôle de leur machine et voler des informations confidentielles. Pourtan…
Enregistrer un commentaire
Lire la suite