Aller au contenu
United States of Security

Adieu cher đź”’

·904 mots·5 mins·
Sécurité IT Cadenas Chrome Chromium HTTPS Sensibilisation
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

Vous le voyez quasiment sur chaque site dans votre navigateur internet, et pourtant il s’apprête à faire ses adieux : c’est le 🔒 associé au HTTPS.

Mais qui est-il vraiment ? Pourquoi tire-t-il sa révérence et pourquoi est-ce une excellente nouvelle ?

Capture d'Ă©cran de la barre d'adresse de Firefox, avec une icĂ´ne Bouclier, une icĂ´ne Cadenas et l'URL https://unitedstatesofsecurity.net.
Capture d’écran de la barre d’adresse de Firefox

Vous le connaissez bien, même si vous ne le remarquez plus : ce cadenas rassure à propos du site internet visité. Parfois à tort, d’ailleurs. D’où vient-il ?

Aux origines du cadenas

Lorsque le web1 est créé, tout le trafic est alors non sécurisé2. Cela ne pose pas de problème particulier : il n’y a que très peu d’utilisateurs et très peu de techniques d’attaques.

Néanmoins, avec le temps et la démocratisation d’internet, le besoin de confidentialité et d’intégrité des échanges se renforce. La cryptographie, forte d’autour de 5000 ans d’expérience3, propose alors ses services. Je passe sur les détails techniques, cela donne naissance à HTTPS. Rarissime à l’époque, Microsoft a choisi de mettre en valeur les sites protégés par HTTPS dans son navigateur par, vous l’avez deviné, le fameux 🔒 !

Confidentialité et intégrité

HTTPS repose sur la cryptographie asymĂ©trique. Pour faire simple, le serveur web possède deux clĂ©s : une publique et une privĂ©e. La publique est intĂ©grĂ©e dans un certificat rendu… public, qui sert de carte d’identitĂ© pour le serveur. La privĂ©e est conservĂ©e secrète par le serveur.

À la connexion au site web en HTTPS, le navigateur obtient le certificat du serveur. Les deux entités échangent alors automatiquement pour établir une communication chiffrée puis la page web s’affiche.

HTTPS garantit deux choses :

  1. le contenu des échanges entre le navigateur et le serveur est chiffré et donc pas interceptable par un tiers non autorisé, et
  2. le serveur correspond bien à l’URL consultée.

Un lent glissement sémantique

Progressivement, ce 🔒 devient un gage de sécurité. Les sites de paiement le mettent en avant pour rassurer les e-consommateurs au moment de saisir leurs numéros de carte bancaire, et le grand public est sensibilisé à l’importance du cadenas.

Cependant, dans un esprit de simplification (excessif), des éditeurs ont progressivement instillé que le cadenas permet de faire totalement confiance au site internet. Or ce n’est pas la signification du 🔒 !

Ainsi, un site frauduleux, imitant une banque par exemple, peut tout à fait présenter un certificat valide sur une URL différente de la banque, le tout en HTTPS et donc avec un 🔒. Ici, HTTPS garantit uniquement que les communications entre le navigateur et le site frauduleux sont confidentiels et que le serveur correspond à l’URL frauduleuse. Pas que le site appartient effectivement à la banque !

Lorsque je sensibilise à la sécurité les nouveaux salariés de mon employeur, je montre toujours une capture d’écran d’une page de connexion. Les stagiaires sont ensuite invités à décider si oui ou non ils saisiraient leurs identifiants et pourquoi. Une large majorité indique les saisir en toute confiance car ils ont vu le cadenas et le https:// dans l’URL.

Les possibilités pour obtenir un certificat valide et reconnu par les navigateurs ne manquent pas, à bas prix ou même gratuitement4, et si les éditeurs légitimes en ont largement profité, c’est également le cas des attaquants.

Clap de fin

Grâce aux efforts des navigateurs pour imposer HTTPS sur le web (on est passé de 14% en 20135 à plus de 93% en 20236. Dès lors, souligner qu’un site est servi par HTTPS n’a plus grand intérêt, d’autant plus que l’icône choisie a été détournée de sa signification originelle.

C’est pourquoi Chromium, l’organisation en charge du projet open source derrière Google Chrome, a annoncé le 2 mai 2023 procéder au remplacement du cadenas par une nouvelle icône, communément associée à une autre signification.

Nouvelle icĂ´ne HTTPS dans Chromium

Chromium indique dans son blog avoir choisi cette nouvelle icĂ´ne pour trois raisons principales (je graisse) :

  • elle n’est pas associĂ© Ă  une notion de confiance
  • elle est plus intuitivement cliquable que le cadenas
  • elle est communĂ©ment associĂ© Ă  la notion de paramètres

La disparition de l’impression de confiance est à mon sens le principal avantage. On revient à un simple indicateur. Les utilisateurs avertis savent qu’ils peuvent aller chercher des détails sur la connexion dedans, les profanes n’y voient plus une sécurité absolue et cliqueront peut-être dessus pour découvrir les autres options de sécurité (comme les permissions du site).

L’icône apparaîtra dans Chrome 117, prévu pour l’instant pour septembre 2023, et j’espère que les autres navigateurs suivront rapidement.

  1. Ă  ne pas confondre avec internet : le web c’est le protocole HTTP (je simplifie) alors qu’internet est le rĂ©seau mondial qui supporte ce protocole et tous les autre. Le contenu et les fonctionnalitĂ©s d’internet ne sont pas nĂ©cessairement accessibles par un navigateur. ↩︎

  2. on dit alors que le trafic est en clair, par opposition Ă  chiffrĂ©↩︎

  3. Oui oui : le plus vieux document chiffrĂ© retrouvĂ© Ă  ce jour est une tablette d’argile datant du XVIe siècle av. J.-C, en Irak actuel, https://fr.wikipedia.org/wiki/Histoire_de_la_cryptologie ↩︎

  4. Let’s Encrypt a largement contribuĂ© Ă  la dĂ©mocratisation de HTTPS grâce Ă  leurs certificats simples Ă  acquĂ©rir et gratuits ↩︎

  5. 14% des sites du Alexa Top 1 Million prĂ©sentaient un certificat reconnu comme valide par les navigateurs. Zakir Durumeric, James Kasten, Michael Bailey, et J. Alex Halderman, « Analysis of the HTTPS Certificate Ecosystem », Proc. of the 13th Internet Measurement Conference, oct. 2013, [En ligne]. Disponible sur: https://jhalderm.com/pub/papers/https-imc13.pdf ↩︎

  6. Pourcentage de pages chargĂ©es via HTTPS dans Chrome sur Windows, https://transparencyreport.google.com/https/overview ↩︎