Sécurité IT : Google établit la communication client-serveur sur HSTS

Sécurité
google-hsts
2 10

L’implémentation du HSTS est finalisée sur le domaine google.com. Une couche de sécurité supplémentaire pour les connexions aux sites Web.

Le HSTS est désormais opérationnel pour l’ensemble des services fonctionnant sur le domaine google.com.

Ce mécanisme de politique de sécurité, dont l’acronyme est utilisé pour « HTTP Strict Transport Security », permet à un serveur Web de déclarer à un agent utilisateur – typiquement, un navigateur Web – qu’il doit interagir avec lui en utilisant obligatoirement une connexion chiffrée.

L’IETF (Internet Engineering Task Force) en définit les caractéristiques dans la recommandation RFC 6797.

La politique en question est communiquée à l’agent utilisateur via la réponse HTTP, dans le champ d’en-tête nommé « Strict-Transport-Security ».

Cela fonctionne aussi dans l’autre sens : les utilisateurs peuvent paramétrer l’option dans leur navigateur (prise en charge assurée dans Chrome et Firefox depuis 2010 ; dans Internet Explorer 11 depuis 2015 ; dans Opera depuis la version 12).

L’idée est d’éviter toute transmission d’informations en clair… notamment en supprimant la possibilité offerte par défaut aux utilisateurs de poursuivre la navigation malgré la présence d’un certificat expiré ou qui ne peut être validé.

HSTS s’inscrit dans la lignée de ForceHTTPS, sans toutefois s’appuyer sur l’envoi d’un cookie.

L’avantage pour le gestionnaire d’une ressource Web est de pouvoir appliquer une politique de sécurité sur l’ensemble du domaine associé. C’est ce qu’a fait Google, non sans se heurter à des problématiques allant des mauvaises balises HREF à la présence, sur une même page, de contenus HTTP et HTTPS.

Le prochain objectif est d’augmenter, la valeur max-age, qui correspond à la période de temps pendant laquelle l’agent utilisateur doit accéder au serveur uniquement de façon sécurisée.

En l’état, elle est fixée à un jour, le temps de s’assurer que l’implémentation HSTS est stable et sécurisée. Le but est de la porter à un an pour réduire la probabilité qu’une requête vers le domaine google.com se fasse sur protocole HTTP non sécurisé.

Pour le moment, cette mise en œuvre a une portée limitée, comme le souligne Silicon.fr. En effet, une étude menée par Netcraft en mars 2016 montre que 95 % des serveurs utilisant HTTPS n’exploitent pas HSTS ou le font avec des erreurs de configuration.

Crédit photo : JMiks – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur