Web : un S pour votre sécurité

par Pascal Waeber, web producer, Ci-UNIL

Longtemps cantonné aux sites d’ebanking et d’ecommerce, le cadenas fermé suivi des lettres https tend à se généraliser à l’ensemble du web, pour de bonnes raisons.

© Luis Escóbar - Fotolia
© Luis Escóbar – Fotolia

Que signifie cette icône de cadenas fermé ?

Né avec le web en 1991, le protocole http (hypertext transfer protocol) est le langage utilisé par votre navigateur pour converser avec les serveurs qui hébergent les sites que vous consultez. Ce protocole a pour caractéristique de ne pas être crypté, ce qui signifie qu’un hacker, un fournisseur d’accès internet peu scrupuleux ou un gouvernement qui espionne ses citoyens peuvent par exemple :

  • intercepter les données que vous envoyez via un formulaire web, notamment un mot de passe
  • modifier la page web qu’un serveur vous envoie en y insérant du code espion ou malveillant
  • ou encore vous présenter un site contrefait à la place du vrai site, notamment lorsque vous utilisez un réseau Wi-Fi public ou mal sécurisé.

Ces problèmes sont connus depuis longtemps, et ont amené en 1994 à la création d’une version sécurisée et cryptée du protocole http, nommée https (hypertext transfer protocol secure), qui permet de vous protéger des risques énumérés ci-dessus quand vous visitez un site qui l’utilise correctement.

C’est l’existence de cette version sécurisée qui a permis l’émergence de sites d’ebanking et d’ecommerce, et aujourd’hui une majorité de gens semblent avoir intégré la consigne de prêter attention à l’icône du cadenas fermé dans la barre d’adresse de leur navigateur lorsqu’ils font des paiements ou des achats en ligne. Cette icône suivie d’une adresse commençant par https:// est associée dans l’inconscient collectif à l’idée qu’on peut « faire confiance » aux site qui l’affichent.

Depuis quelques années, on constate qu’un nombre croissant de sites, y compris ceux qui ne proposent aucune possibilité de transaction financière, utilisent https à la place de http. Cette tendance à la généralisation de https est aujourd’hui de plus en plus prononcée, sous l’influence de nombreux acteurs d’internet, et non des moindres : citons par exemple Mozilla, Google, Cisco, l’Electronic Frontier Foundation et l’American Library Association, soutenus par une multitude d’hébergeurs web et d’entreprises de sécurité informatique.

Nous allons vous expliquer les (bonnes) raisons pour lesquelles vous voyez actuellement ce cadenas fermé même sur votre compte Gmail ou Facebook, ainsi que de plus en plus souvent sur vos sites favoris.

En 20 ans de web, de l’ère des Bisounours à celle du phishing

Au début des années 90 et du web, tout était simple. Les premiers sites ne proposaient que peu d’interaction aux visiteurs, les intranets et les réseaux sociaux n’avaient pas encore vu le jour, et les hackers individuels ou gouvernementaux n’avaient pas encore pris la mesure du monumental terrain de jeu qui allait s’offrir à eux. Le protocole http, non crypté, était alors suffisant pour faire fonctionner ce web débutant.

Puis avec les transactions financières en ligne est apparue la nécessité de pouvoir communiquer de manière cryptée avec un site, afin que notre mot de passe ou notre numéro de carte de crédit ne puisse pas être intercepté trop aisément par le premier bidouilleur venu. D’où l’apparition de https, qui impliquait cependant un investissement technique et financier non négligeable pour les sites qui décidaient de l’adopter.

En effet, le protocole https ne se limite pas à crypter l’échange entre votre navigateur et un site, il vous certifie également l’identité de l’émetteur de ce site, au moyen d’un certificat d’authenticité. Ce certificat numérique doit être fourni par une autorité de certification et a une durée de validité limitée dans le temps. Jusqu’à très récemment, ces certificats étaient toujours payants et leur installation nécessitait une compétence informatique professionnelle, ce qui le plus souvent en réservait l’usage à des entreprises d’une certaine taille plutôt qu’aux blogs associatifs. Précisons au passage que ces certificats et le cryptage qui leur est associé ne se limitent pas aux sites web, mais sont également applicables aux autres usages d’internet, comme l’email ou l’administration à distance d’un serveur.

L’émergence du web 2.0 dans les années 2000 a largement généralisé l’interactivité sur les sites : quand vous vous créez un profil ou que vous postez un commentaire, votre localisation géographique et vos identifiants circulent lors de la transaction. Quand elles ne sont pas cryptées, ces données représentent de la valeur pour beaucoup de monde : non seulement les hackers, mais encore des fournisseurs d’accès internet qui injectent des publicités ciblées dans les pages que vous consultez, ou certains gouvernements qui suivent à la trace toute forme de « militantisme antipatriotique ».

Avec les années, l’idée de pouvoir garantir aux visiteurs

  • l’authenticité du site consulté (vous êtes bien sur le vrai site XY)
  • l’intégrité du contenu transmis (la page que vous consultez n’a pas été modifiée par un intermédiaire)
  • et son cryptage (les informations que vous envoyez sur le site ne sont pas lisibles par un intermédiaire)

a commencé à s’imposer progressivement comme une bonne pratique pour toutes les catégories de sites web, et non plus uniquement pour les sites marchands.

Le protocole https permet de répondre à ce besoin, et des acteurs de poids ont se sont mis à militer en faveur de sa généralisation : les navigateurs Mozilla et Chrome prévoient à l’avenir de réserver certaines de leurs fonctionnalités aux sites en https, et Google a annoncé en 2014 qu’il privilégierait à l’avenir les sites en https dans le classement de ses résultats de recherche.

Parmi les bénéfices additionnels, mentionnons également le fait que les sites en https sont plus difficiles à censurer. Par exemple l’Inde et la Chine ont tenté de censurer l’accès de leurs citoyens à la plateforme de développement informatique GitHub au motif qu’elle offrait en téléchargement des logiciels anti-censure, mais il ne leur était pas possible de ne censurer qu’une partie du site, et en censurer la totalité se serait finalement avéré trop dommageable pour leur propre industrie informatique. Ils ont donc été contraints de renoncer à pouvoir censurer ce site.

Si le recours à https se généralise sur les sites web pour rassurer les internautes, mais que cette technologie reste chère et compliquée à installer, qu’advient-il alors du blog associatif et de la liberté d’expression ? C’est ce défi que plusieurs fondations et entreprises ont décidé de relever, en démocratisant l’accès à https avec leur projet Let’s Encrypt.

Depuis décembre 2015, Let’s Encrypt propose des certificats d’authenticité gratuits et une procédure d’installation allégée, permettant ainsi à de petits sites de passer à https de manière simplifiée, souvent avec l’aide de leur hébergeur web. Le succès de cette initiative est remarquable, puisqu’en 7 mois la part globale des sites en https avait déjà passé de 40% à 45% grâce aux certificats distribués par Let’s Encrypt.

Des nouveautés au rayon cadenas

Une icône de cadenas fermé inspire confiance aux visiteurs des sites en https et c’est tant mieux. Reste cependant le problème que l’absence de cadenas ne leur inspire pas grand-chose, et notamment pas la méfiance qui serait parfois nécessaire.

D’où le fait que les éditeurs des principaux navigateurs font progressivement évoluer leurs icônes de cadenas dans le sens d’une mise en garde plus appuyée, informant visuellement si le degré de sécurité offert par le site n’est pas optimal.

Par exemple, certains sites ont adopté https, mais certains éléments appelés dans leurs pages (images, polices, scripts…) proviennent d’autres serveurs qui ne sont pas en https : c’est ce qu’on nomme du contenu mélangé (mixed content). Selon le degré de danger présenté par ce contenu non sécurisé, le site affichera ou non un avertissement.

Exemple d'avertissement de contenu mélangé dans Firefox
Exemple d’avertissement de contenu mélangé dans Firefox
Evolution des cadenas dans Google Chrome (source : Google security blog)
Evolution des cadenas dans Google Chrome (source: Google security blog)

La généralisation progressive de https signifie-t-elle la fin de tous les problèmes de sécurité et de confidentialité ?

Hélas non, mais elle contribuera à en résoudre une partie, et c’est déjà une très bonne chose.

Comparons ce domaine avec celui de la lutte anti-dopage : les spécialistes du dopage ont toujours une longueur d’avance sur les instances de contrôle. Est-ce une raison pour supprimer les instances de contrôle ? Non, et d’ailleurs cette longueur d’avance s’amenuise de plus en plus.

Comme l’a révélé Edward Snowden, la NSA a intensivement œuvré pour tenter de se ménager des backdoors dans divers système de sécurisation du web, notamment https. Mais malgré tout le cryptage d’une partie croissante du web va globalement compliquer la surveillance de masse et la censure dans de nombreux cas. Et nous ne vivons pas dans un monde monolithique, puisqu’au sein même de l’administration US, on trouve de fervents promoteurs de https.

Par contre d’autres problèmes persistent : bien que vos données transitent de manière sécurisée par https, cela n’a pas d’influence sur ce qu’en fait le destinataire. Même si Facebook a adopté https, la politique de cette entreprise en matière de vie privée n’est pas modifiée pour autant. Et les tentatives de piraterie via l’ingénierie sociale ne vont pas disparaître non plus. Il importe donc de rester vigilant.

https à l’UNIL

Le Centre informatique de l’UNIL utilise depuis plusieurs années https pour une grande partie de ses applications ainsi que pour les pages de login à ses différents sites. Idem pour l’email, crypté via SSL/TLS, la même couche de sécurité qui est employée par https.

L’accès au webmail via OWA est 100% en https, tout comme le sera la nouvelle version du portail MyUNIL dès l’automne 2016.

Pour les sites Jahia et WordPress : la connexion et l’édition des sites s’effectue déjà en https. La consultation des sites est actuellement possible dans les 2 modes, http + https : plusieurs de nos pages web font encore appel à du mixed content, et il nous faudra d’abord traiter ces cas avant de pouvoir forcer le passage par https avec HSTS.

Un prérequis pour un futur web plus rapide avec http/2

Le protocole http n’a plus guère évolué depuis 1997, alors que les pages web sont devenues de plus en plus volumineuses avec les années, à grand renfort d’images et de scripts. D’où un problème de performance, légèrement accru au passage par https, dont le cryptage augmente de quelques pourcents le temps de réponse des sites web.

Mais depuis 2015, une solution existe et commence à se répandre : le successeur du protocole http se nomme http/2, et il remédie largement à la faiblesse des performances de son prédécesseur. Il permet de réduire drastiquement le nombre de requêtes au serveur pour afficher une page grâce à un traitement en parallèle. Les navigateurs récents sont déjà compatibles http/2, mais uniquement pour les sites en https. Il est donc à prévoir qu’au cours des prochaines années, le nombre d’hébergeurs adoptant https pour pouvoir ensuite passer à http/2 devrait rapidement augmenter.

En conclusion

Un avenir où le https devient la norme et le http l’exception n’est pas une perspective qui réjouit tout le monde, notamment parmi les vétérans du web. Ces derniers sont nombreux à regretter que la complexité technique de l’implémentation de https ne freine l’utilisation du web comme un moyen d’expression libre et ouvert à tous. Ils craignent également que des millions d’anciens sites web statiques, qui constituent aujourd’hui de riches archives développées pendant des années, et qui ne présentent pas de risque de sécurité important, n’apparaissent soudain comme « pas fiables ». Ces craintes ne sont pas infondées, et des solutions techniques devront être trouvées pour y répondre.

Et d’un autre côté, l’absence de cryptage favorise aujourd’hui tous les abus, au point que la plupart des experts en sécurité regrettent que le web n’ait pas été crypté dès ses origines. A une époque où une part chaque jour croissante de nos interactions professionnelles et privées se déroule en ligne, https est un apport incontestable pour mieux les protéger.

Pour aller plus loin :
HTTPS is not a magic bullet for Web security