Comprendre le HTTPs et à quoi sert le HTTPs

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87574
Inscription : 10 sept. 2005 13:57
Contact :

Comprendre le HTTPs et à quoi sert le HTTPs

Message par Malekal_morte » 10 mai 2014 19:49

Cette page explique ce qu'est le HTTPs, à quoi sert-il, et comment cela fonctionne.
Souvent lorsque l'on parle de "connexions sécurisées" sur un site WEB, c'est ce fameux HTTPs dont il est question.

Vous pouvez aussi lire la page du site : Les sites HTTPs.

Principe et pourquoi le HTTPs ?

Lorsque vous surfez, la plupart des sites ont des adresses débutant par http:// - par exemple :

Code : Tout sélectionner

https://www.malekal.com
http://www.google.fr
etc.

En HTTP, les données qui transitent entre votre navigateur WEB et le serveur transitent en clair.
Potentiellement donc, elles peuvent être interceptées et lues par un tiers.
Ceci permet par exemple le vol d'informations (mot de passe, bancaires, etc) ou vol de sessions.
C'est aussi pour cela, que l'utilisation d'intermédiaires (proxy, VPN etc) n'est pas forcément une bonne idée - j'en parlais là : cookies-vols-sessions-t43115.html

Afin de palier à ceci, notamment au départ, pour les paiements en ligne, pour que vos informations bancaires ne puissent être interceptées, le HTTPs a été implémenté - HTTPs étant donc du HTTP "sécurisé".
Les adresses commencent donc par http://
Ceci est maintenant étendu a beaucoup de services, notamment les mails (pour réduire le vol de sessions ou la lecture des mails par un tiers), les réseaux sociaux etc.

Connexions HTTPs sur malekal.com :
Image


Selon le niveau de certificat utilisé (voir plus bas), l'affichage peut être différent avec une barre verte.

Le HTTPs permet donc de sécuriser la connexion entre le client et le serveur en :
  • chiffrant les données qui transitent entre votre navigateur WEB et le serveur WEB.
  • Vérifiant l'identité du serveur WEB que vous visitez, en principe, vous êtes assurez d'être sûr d'être sur le site sur lequel vous pensez être et ne pas avoir été redirigé, par un malware par exemple, vers un faux serveur auquel vous pourriez y saisir des mots de passe etc.
Les navigateurs affichent des alertes lorsque du contenu mixte (HTTP et HTTPs) externe tente d'être affiché par le site WEB.
Notamment par exemple sur malekal.com où les publicités externes ne sont pas en HTTPs, on peut avoir un triangle jaune sur le bouclier sur Firefox et le message informant que du contenu non HTTPs tente d'être affichées.

Image

De ce fait, sur un site ayant du contenu 100% HTTPs, si ce dernier se fait hacker et que du code vers une adresse externe non HTTP tente d'être chargé, le visiteur sera informé par cette alerte que quelque chose ne tourne par rond.


Fonctionnement du HTTPs

Le protocole HTTPs utilise le protocole TLS/SSL qui peut aussi être utilisé par d'autres protocoles pour sécuriser le transfert de données : FTP => FTPs, POP3 => POP3s etc.

Voici le principe de fonctionnement (en version simple), lorsqu'un site veut pouvoir délivrer du contenu HTTPs, il achète un certificat auprès d'une autorité de certification (CA).
Il existe 3 types de certificats selon le niveau de vérification effectuée par le CA :

Les certificats DV (Domain validation)

Le certificat délivré prouve seulement que le visiteur visite bien le site sur lequel, il pense être.
Le certificat étant rattaché au serveur WEB.
N'importe qui peut obtenir ce type de certificat.

Seul un bouclier est affiché pour ce type de certificat par les navigateurs :
Image
Image

Aucune information sur l'organisation n'est enregistrée dans ce type de certificat :

Image


Les certificats OV (Validation par Organisation)

L'autorité de certification vérifie que l'organisation est bien détentrice du domaine en question.
Visuellement sur la barre d'adresse, on ne voit aucune différence avec un certificat de type DV.
Dans les informations du certificat, l'organisation est affiché.

Image

Les certificats EV (Validation Etendue)

C'est le type de certificat le plus difficile à obtenir.
Des vérifications étendue sont effectuées par le CA sur l'organisation détentrice du certificat

En autre :
  • La vérification de l'existence légale, physique et opérationnelle de l'organisation
  • La vérification de l'exactitude des informations transmises sur l'organisation (adresse, n° de téléphone)
  • La vérification du droit exclusif d'utilisation du nom de domaine par l'organisation en question
La vérification de l'accord de l'organisation pour l'émission du certificat

D'autres part, le CA est soumis à des vérifications et tous ne peuvent pas délivrer ces certificats.

Visuellement une barre verte est affichée ou un cadenas vert avec le nom de l’organisation.

Image

Image

Bien entendu, le prix du certificat diffère selon son type, par exemple, vous pouvez voir les prix chez Gandi : https://www.gandi.net/ssl
On peut y voir une petite partie business là dedans...

Fonctionnement du HTTPs

Lorsque vous vous connectez à un site sécurisé, ce dernier vous envoie son certificat.

Le certificat va être vérifié par une PKI (Public Key Infrastructure / Infrastructures à clefs publiques), cette dernière va vérifier la validé du certificat mais authentifier l’émetteur (soit le domaine, soit organisation et domaine selon le type de certificat).

Ce certificat contient une clef publique qui va être utilisée pour chiffrer une clef secrète créée par le navigateur WEB et envoyer au serveur WEB qui sera le seule à pouvoir obtenir la clef en déchiffrant à partir de sa clef privée.
Le client et le serveur utilisent la clé secrète pour générer des clés de session qui seront les clés symétriques utilisées pour le chiffrement, déchiffrement des données et l'intégrité.

La liste des PKI est disponible sur votre navigateur, par exemple, sur Firefox, dans le menu Outils / Avancés.
Cliquez sur l'onglet Avancés puis Afficher les certificats.
Enfin, onglet Autorités.

Image


Conclusion

Le HTTPs est donc un protocole qui permet de sécuriser la connexion entre le navigateur WEB (client) et le serveur WEB.
Il permet aussi de vérifier l'identité du site en étant sûr que vous êtes bien sur le site sur lequel vous pensez être.
Cependant, en aucun cas, il ne permet de conclure que le site ou l'organisation derrière ce site en question est fiable.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comprendre le HTTPs et à quoi sert le HTTPs

Message par Malekal_morte » 04 sept. 2015 23:17

Allons un peu plus loin en abordant les certificats dans le système d'exploitation Windows et sur les navigateurs WEB, ainsi que quelques attaques qui peuvent être effectuées afin de pouvoir récupérer le traffic HTTPs. Les certificats de Windows sont stockés dans le magasin de certificats de Windows. Le gestionnaire s'ouvre avec la commande : certmgr.msc . Notez que certmgr peut fonctionner en ligne de commandes pour ajouter, révoquer etc des certificats.

Listing des différents certificats.

Image

Les descriptifs de chaque dossier sont expliqués sur la MSDN.

Image

Dans le cas étudié, les dossiers importants sont surtout :
  • Personnel : peuvent contenir les certificats de l'utilisateur ou de l'ordinateur utilisé par des applications par exemple (ex: un certificat VPN)
  • Autorités de certification racine approuvées : certificats racines qui peuvent délivrer par exemple des certificats secondaires.
Le reste des dossiers du magasin de certificats Windows est plutôt destiné à des utilisations dans les réseaux d'entreprises. Dans le cas des connexions au sites HTTPs, ce sont les certificats contenus dans les "Autorités de certification racine approuvées" qui sont importants. S'ils sont supprimés, Windows est capable de les réinscrire de force lors d'une connexion à un site WEB HTTPs.

Code : Tout sélectionner

Mise à jour automatique du certificat racine tiers réussie : Objet : <OU=Equifax Secure Certificate Authority, O=Equifax, C=US> Empreinte numérique Sha1 : <D23209AD23D314232174E40D7F9D62139786633A
Ci-dessous, on voit que "Google Internet Authority G2" est un certificat d'autorité intermédiaire dont "GeoTrust" fait Autorité.

Image

Comme expliqué à la fin de la FAQ Erreurs SSL : Les sites HTTPs sécurisés ne fonctionnent plus, il est possible de tous les réinscrire.

Enfin, ce qu'il faut savoir en ce qui concerne les navigateurs WEB c'est que Google Chrome & Internet Explorer utilisent le magasin de certification Windows tandis que Mozilla Firefox possède son propre gestionnaire de certifications. On retrouve d'ailleurs les mêmes éléments principaux que le magasin de certification de Windows.

Image


Récupérer le traffic HTTPs par attaques de l'homme du milieu (MITM)

Si vous avez lu la page Anonymisation sur internet avec Proxy WEB, vous savez qu'en passant par des proxies ou VPN, il est tout à fait possible de récupérer le traffic et éventuellement des mots de passe. C'est ce qu'on nomme : attaques de l'homme du milieu ou plus couramment MITM. L'attaquant s'intercale entre le Client (vous) & le Serveur afin de pouvoir lire le traffic.

Une des parades consiste à rendre le traffic "illisible", d'où le fait que les sites de paiements soient en HTTPs. Il en était de même pour les antivirus qui ne pouvaient analyser le traffic "chiffré" sur les ordinateurs installés. Du fait de ses propriétés, de plus en plus de codes malveillants ont commencés à utiliser le protocole HTTPs. C'était par exemple le cas des Malvertising Kovter, des serveurs Zbot/Zeus, etc. Tout réside dans le fait de posséder des certificats DV (Domain Verification), par achats ou par vols. Seule l'identité du domaine est vérifiée, aucune véritable information sur l'identité est demandée, ce qui permet aux auteurs de malwares d'enregistrer des domaines HTTPs.

Dans la capture ci-dessous, on voit que l'identité du site google.fr est validée par Avast! alors que dans la capture plus haut, elle est vérifiée "Google Internet Authority G2".

Image

Comment-est ce possible ? Et bien c'est tout simplement parce que lorsque vous installez Avast!, celui-ci va installer silencieusement un Certificat d'Autorité racine qui va agir en tant que proxy HTTPs ce qui va lui permettre de déchiffrer tout le traffic HTTPs. D'où la multiplication des problèmes de surf sur les sites HTTPs car cela pose beaucoup de problèmes notamment avec les effets de chevauchement entre produits, exemple : Avast! & BitDefender. Autre cas classique, la suppression de Certificats d'Autorités de Mozilla Firefox ( étrangement, cela peut arriver après une simple réinitialisation de Firefox ), vous aurez donc une erreur sec_error_unknown_issue

Image

En supprimant les Certificats du magasin de Windows, le surf via Google Chrome restera possible. Par contre sur Internet Explorer, vous obtiendrez une erreur de certificat.
Ce certificat racine de l’autorité de certification n’est pas de confiance car il ne fait pas partie du magasin d’autorités de certification de racine de confiance.
Image

Tout ceci est largement documenté sur la page Erreurs SSL : Les sites HTTPs sécurisés ne fonctionnent plus.

Si les solutions de sécurité peuvent faire toutes ces opérations, les codes malveillants peuvent le faire aussi... et c'est tout le problème. Si vous avez tout compris, vous aurez deviné que l'intérêt est surtout de déchiffrer les connexions sur les sites bancaires afin d'accéder à vos comptes en ligne ; récupérer vos informations bancaires ; traiter des opérations. La grande majorité des trojans "Banker" possèdent ces fonctionnalités.

Les Adwares en font malheureusement autant, le fameux Adware VisualDiscovery de SuperFish installés par défaut sur tous les ordinateurs de la marque Lenovo a déclenché un scandale dans l'actualité de l'année 2015 : Lenovo & adware VisualDiscovery / VisualSearch.

L'Adware Abengine en faisait tout autant, lors de son installation. Vous étiez alors spammés de popups jusqu'à ce que vous soyez contraint à accepter l'ajout de Certificat d'Autorités racines :

Image

Le site Google vérifié par des certificats d'autorités racines malicieux :

Image

Image

Le magasin de certification de Windows est complètement polluée de certificats d'autorités racines malicieux :

Image

J'imagine que dans le cas des adwares, le but est de pouvoir contrôler le traffic HTTPs afin de pouvoir injecter des publicités sur les pages de sites HTTPs visités. Bien sûr, ici, si les auteurs de ces programmes publicitaires auraient voulu récupérer vos mots de passe, c'était tout à fait réalisable. Tout comme d'ailleurs, il est possible de faire beaucoup de choses avec des adwares qui modifient la configuration des serveurs DNS comme DNS Unlocker.


Conclusion

J'espère que ce complément vous fera mieux comprendre le fonctionnement des certificats SSL sur Windows et les quelques notions de sécurité quant à ces derniers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comprendre le HTTPs et à quoi sert le HTTPs

Message par Malekal_morte » 01 déc. 2015 10:14

RootCertificateCheck (RCC) liste les certificats potentiellement malicieux qui peuvent avoir été installés sur votre Windows. RCC analyse le magasin des certificats de Windows ainsi que celui de Mozilla Firefox.

voir la fiche RCC : Fiche RootCertificateCheck (RCC).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité