Comment la navigation Web devient encore plus sécurisée

Publicité

La richesse des informations personnelles que nous partageons en ligne a augmenté de façon exponentielle depuis 1994, la création du protocole SSL (Secure Sockets Layer).

Internet est inondé de phrases de passe Pourquoi les phrases secrètes sont toujours meilleures que les mots de passe et les empreintes digitalesRappelez-vous quand les mots de passe n'ont pas dû être compliqués? Quand les NIP étaient faciles à retenir? Ces jours sont révolus et les risques de cybercriminalité signifient que les scanners d'empreintes digitales sont presque inutiles. Il est temps de commencer à utiliser les codes d'accès ... Lire la suite , les détails de votre carte de crédit et données bancaires en ligne 6 bonnes raisons pour lesquelles vous devriez effectuer des opérations bancaires en ligne si vous ne l'êtes pas déjà [Opinion]Comment faites-vous habituellement vos opérations bancaires? Conduisez-vous à votre banque? Attendez-vous en longues files, juste pour déposer un chèque? Recevez-vous des relevés papier mensuels? Déposez-vous ces ... Lire la suite

. Nous avons des certificats SSL à remercier pour notre sécurité et notre confidentialité. Mais vous avez probablement entendu parler de failles récentes qui ont entamé votre confiance dans le protocole cryptographique.

Heureusement, SSL s'adapte, est mis à niveau et remplacé pour vous offrir une meilleure tranquillité d'esprit. Voici comment.

Qu'est-ce que SSL de toute façon?

Commençons avec exactement ce qu'est SSL Qu'est-ce qu'un certificat SSL et en avez-vous besoin?La navigation sur Internet peut être effrayante lorsque des informations personnelles sont impliquées. Lire la suite .

Les certificats SSL sont des documents d'autorisation numériques qui peuvent être obtenus par une organisation ou une personne gérant un site qui traite des informations sensibles. Il garantit que les données peuvent être transportées en toute sécurité entre le serveur Web et le navigateur, que ces informations n'ont pas été interceptées et que leurs sources sont authentiques.

Découvrez Amazon, par exemple. Regardez l'URL et au lieu d'une adresse HTTP (HyperText Transfer Protocol) typique, vous devriez être redirigé vers un HTTPS Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défautLes problèmes de sécurité se répandent partout et ont atteint le premier plan de la plupart des gens. Des termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et sont non seulement compris, mais également utilisés par ... Lire la suite - que supplémentaire "S" signifie qu'il s'agit d'un lien sécurisé HTTPS partout: utilisez HTTPS au lieu de HTTP lorsque cela est possible Lire la suite et vous pouvez payer en toute sécurité des articles via le site. Hotmail, WordPress et même Tumblr utilisent des certificats SSL.

C'est formidable pour le consommateur (qui sait que ses données sont traitées de manière responsable) et pour le vendeur (qui bénéficie non seulement de la confiance des acheteurs, mais est également mieux classé par Google).

Cependant, rien n'est infaillible, et quelques failles SSL révélées au cours de la dernière année en témoignent. Heureusement, la navigation sur le Web redevient plus sûre…

Mises à niveau TLS

Vous avez peut-être déjà vu SSL et Transport Layer Security (TLS) utilisés de manière interchangeable, et bien que les différences soient peut-être subtiles, elles restent remarquables.

Les deux utilisent le même système de chiffrement des données et discutent avec l'autorité de certification (CA) avant d'établir cette connexion. TLS, cependant, est le successeur de SSL, il va donc de soi que TLS serait plus sûr. En effet, ses trois incarnations - TLS 1.0, 1.1 et 1.2 - corrigent certaines des vulnérabilités trouvées dans la méthode SSL.

TLS 1.3 existe depuis 2008, mais comme les défauts des versions précédentes étaient considérés comme tels minuscule ils n'affecteraient pas les situations "du monde réel", il a fallu attendre très récemment pour sa masse la mise en oeuvre. En réalité, en 2013, il est apparu que même la National Security Agency (NSA) ne ciblait pas les domaines exécutant des protocoles TLS, car si peu les utilisaient réellement. Maintenant, cependant, un mandat du Conseil de sécurité PCI a obligé tout site qui transmet ou traite les informations des titulaires de carte à se mettre à niveau.

De plus, tous les principaux navigateurs - Google Chrome, Microsoft Edge, Safari, Firefox et Opera - prennent en charge TLS 1.2 par défaut, de sorte que le niveau de cryptage est assuré par les deux parties. Notez cependant que le mandat semble s'appliquer uniquement aux détails de paiement, et non aux informations de connexion.

Cryptage partout

La mise à niveau des certificats n'est utile que si elle est largement adoptée, et ce n'est pas le cas. Tous les sites de commerce électronique ont besoin de pratiques de sécurité, et la majorité devrait vraiment avoir SSL ou TLS. Beaucoup dépendent de la protection des processeurs de paiement tiers, comme PayPal (cela semble être une faille dans le mandat du Conseil de sécurité PCI), mais si un site accepte des informations privées, il doit utiliser une couche sécurisée.

Si votre connexion n'est pas privée, les données, y compris l'adresse e-mail et le mot de passe lors de la connexion, peuvent être acquises par des pirates. Et parce que la plupart des gens ont tendance à utiliser les mêmes mots de passe Les 7 tactiques les plus courantes utilisées pour pirater les mots de passeLorsque vous entendez «violation de la sécurité», qu'est-ce qui vous vient à l'esprit? Un pirate malveillant? Un enfant vivant au sous-sol? La réalité est que tout ce qui est nécessaire est un mot de passe, et les pirates ont 7 façons d'obtenir le vôtre. Lire la suite sur plusieurs sites (malgré tous les avertissements 7 erreurs de mot de passe qui vous feront probablement piraterLes pires mots de passe de 2015 ont été publiés et ils sont assez inquiétants. Mais ils montrent qu'il est absolument essentiel de renforcer vos mots de passe faibles, avec seulement quelques ajustements simples. Lire la suite ), qui pourraient être des informations vitales.

Néanmoins, de nombreux sites n'adoptent pas de protocoles SSL car cela peut être coûteux et compliqué. C’est là que le programme Symantec Encryption Everywhere entre en jeu.

La société de sécurité américaine propose un service gratuit, grâce auquel le certificat est obtenu entièrement gratuitement, avec des mises à niveau (comme les analyses de logiciels malveillants) disponibles à un coût. Les partenariats avec les sociétés d'hébergement éliminent les complexités des administrateurs de site, tandis que les mises à jour automatisées rationalisent le processus de traitement de toute vulnérabilité supplémentaire.

Il s'agit d'obtenir une utilisation à 100% de la couche de sécurité d'ici 2018, nous nous attendons donc à ce qu'elle soit adoptée par la majorité des sites très bientôt.

Cryptons

Mais attendez! Symantec n'est pas le seul à rechercher le chiffrement SSL / TLS à l'échelle du Web.

Let's Encrypt semble surfer sur la vague de défauts plus récents; lancé au public en décembre 2015, le projet compte déjà de nombreux sponsors internationaux majeurs dont Google Chrome, Mozilla, Facebook, Shopify, YunPian et Akamai. Géré par l'Internet Security Research Group (ISRG), Let’s Encrypt a, ce mois-ci, émis plus de 5 millions de certificats et prévoit 50% de chargement de pages HTTPS d'ici la fin de cette année.

Pourquoi Let's Encrypt est-il populaire? Tout simplement parce qu'il est gratuit et automatisé, ce qui signifie qu'il est incroyablement facile pour les sites d'obtenir des certificats et des mises à niveau.

L'initiative commence par une nouvelle paire de clés privées et une preuve du propriétaire du domaine à l'AC; une fois que cela est vérifié à l'aide du protocole ACME (Automated Certificate Management Environment), le logiciel du site peut signer des messages de gestion de certificats avec la clé afin de renouveler et de révoquer des certificats, ou d'en créer de nouveaux pour les mêmes domaine.

Nous venons de délivrer notre 5 millionième certificat!

- Let's Encrypt (@letsencrypt) 17 juin 2016

Let's Encrypt est sans doute le projet le plus connu pour offrir des certificats gratuits, et entre ces principaux programmes, il semble certainement être une cause fiable.

Convergence

Cependant, vous pourriez être déçu par les certificats SSL.

Leur réputation a été mise à mal ces dernières années: la plupart ont au moins entendu parler de Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite , une vulnérabilité de la bibliothèque de cryptographie open source, OpenSSL, qui permet aux pirates de lire des informations non chiffrées. Heartbleed a affecté de nombreux services Creuser dans le battage médiatique: Heartbleed a-t-il réellement nui à quelqu'un? Lire la suite , mais c'était il y a deux ans Cinq atteintes à votre vie privée en 2014 que vous auriez pu manquerDe nombreuses publications se sont délectées de la vie privée des célébrités en 2014, une année au cours de laquelle les projecteurs ont également brillé sur le grand public. Pouvons-nous tirer des leçons de ces violations? Lire la suite et un correctif est disponible. Mais l'année dernière, il y avait Superfish Les propriétaires d'ordinateurs portables Lenovo se méfient: votre appareil peut avoir préinstallé un logiciel malveillantLe fabricant chinois d'ordinateurs Lenovo a admis que les ordinateurs portables livrés aux magasins et aux consommateurs fin 2014 avaient un logiciel malveillant préinstallé. Lire la suite , les logiciels malveillants qui ont rendu HTTPS sans objet; cela aussi, a été corrigé Superfish n'a pas encore été capturé: le piratage SSL expliquéLe malware Superfish de Lenovo a fait sensation, mais l'histoire n'est pas terminée. Même si vous avez supprimé le logiciel publicitaire de votre ordinateur, la même vulnérabilité existe dans d'autres applications en ligne. Lire la suite .

Et cela ne se limite pas non plus à votre PC: votre les applications pour smartphone sont affectées 1000 applications iOS ont un bogue SSL paralysant: comment vérifier si vous êtes affectéLe bogue AFNetworking pose des problèmes aux utilisateurs d'iPhone et d'iPad, avec des milliers d'applications portant une vulnérabilité entraînant Les certificats SSL ne sont pas correctement authentifiés, ce qui pourrait faciliter le vol d'identité via l'homme du milieu attaques. Lire la suite par des défauts SSL aussi.

La convergence est donc un module complémentaire de navigateur que beaucoup confondent avec un système qui remplace les certificats SSL; plus que tout, c’est la prochaine étape pour les autorités de certification. Essentiellement, au lieu de faire confiance à une autorité de certification garantissant l’authenticité d’un site, Convergence se tourne vers services notariaux pour attester de la sécurité du site.

Vous visitez une adresse HTTPS. Il y a trois résultats principaux: tous les notaires conviennent que c'est sûr, auquel cas vous utilisez le site; pas tous d'accord, mais vous pouvez aller avec la majorité ou rejeter le site parce que vous ne faites pas confiance aux notaires qui faire en témoigner; ou dans des cas extrêmes, la plupart ou la totalité des notaires conviennent qu'il ne faut pas lui faire confiance. De cette façon, il n'y a pas un seul point d'échec.

Pensez-y de cette façon: c'est une convergence d'opinions sur la question de savoir si un utilisateur peut faire confiance au HTTPS.

Comment Internet devient-il plus sûr?

Pourquoi les désignons-nous toujours comme des certificats SSL? Certes, ils devraient être des certificats TLS? #ssl#tls#MostBrowsersDontDoSSLAnymore

- Chris Pont (@chrispont) 7 juin 2016

En bref: les certificats SSL qui authentifient les sites sont mis à niveau vers TLS, surtout sur des domaines comme PayPal qui traitent des informations de paiement. Ils sont en cours de déploiement en masse, dans le but d'utiliser 100% HTTPS dans les prochaines années. Les autorités de certification sont également en cours de réévaluation et le module complémentaire Convergence apparaît comme une étape solide pour vérifier la fiabilité d'un site en s'appuyant sur les notaires pour s'entendre.

Ces mesures vous redonnent-elles confiance à SSL? Le faites vous ressentir entrer en toute sécurité les informations de paiement en ligne? Quels autres protocoles de sécurité aimeriez-vous voir largement mis en œuvre?

Crédits image: HTTPS (WeTransfer) par Christiaan Colen; et https par Sean MacEntee.