Perfect Forward Secrecy: un cryptage évolutif pour les sites Web

0
1203
ssl

Les révélations du dénonciateur Edward Snowden ont montré que la NSA collecte des données à grande échelle. Bien qu’il ne puisse pas déchiffrer certaines informations aujourd’hui, cela pourrait être possible à l’avenir. Les webmasters d'aujourd'hui peuvent se protéger et protéger leurs visiteurs du déchiffrement de demain.

Edward Snowden a montré au monde qu'aucune donnée n'est à l'abri des services de renseignement. Ils collectent (par mesure de précaution) toutes les informations qu'ils rencontrent. Certaines de ces données sont cryptées, par exemple via une connexion HTTPS. Cela inclut les sites Web qui transmettent des informations sensibles, l’achat d’un produit, la connexion à un compte de messagerie ou l’utilisation de la banque à domicile. Toutes ces données sont interceptées, même si elles sont aujourd'hui inutilisables. Dans quelques années, les services secrets pourraient les déchiffrer.

La vulnérabilité de HTTPS

Qu'entend-on exactement par Perfect Forward Secrecy, PFS? Pour expliquer le terme, il est d'abord nécessaire d'expliquer le fonctionnement du cryptage SSL, utilisé sur les sites Web sur lesquels des données sensibles sont transmises.

Lorsque vous visitez notre site Web hoster.online, un petit verrou devient visible dans la barre de recherche du navigateur Web. Un clic sur le verrou ouvre les informations sur le certificat SSL. En un autre clic, vous pouvez afficher des informations sur le certificat, y compris, par exemple, la date d'expiration.

Les certificats SSL peuvent utiliser pratiquement n'importe quel site Web. Les différences sont dans

- leur cryptage
- s'ils sont les Domaine ou identité valider et
- Quelle est la compatibilité de votre navigateur?

Il existe également trois types de certificats:

1. Unique
2. wildcard
3. multi-domaine

Le certificat SSL fonctionne comme suit: L’utilisateur navigue sur une page Web, par exemple hoster.online. Son navigateur contacte le serveur, qui spécifie une clé publique émise par l'autorité de certification. Le navigateur vérifie la signature de l'autorité de certification. Si cela est correct, il échange des données avec hoster.online. Toutes les données seront transmises cryptées à partir de maintenant.

Perfect Forward Secrecy comme protection contre les méthodes de demain

Pour la transmission cryptée d'une session HTTPS, le navigateur propose à chaque fois une clé de session secrète. Le serveur confirme cette clé.

Le problème avec cette méthode est que les services de renseignement tels que la NSA peuvent enregistrer la transmission de la clé. Dans un avenir prévisible, il pourrait décrypter. Cela lui permettrait de lire toutes les données transmises sur hoster.online.

HTTPS a eu des problèmes par le passé. Bug Heartbleed, qui a exposé des pages Web depuis les principales vulnérabilités de sécurité de 2011, a affecté deux sites Web sur trois sur Internet. Heartbleed était un bogue de programmation dans le logiciel OpenSSL. Il a donné aux pirates informatiques qui se connectaient via HTTP à un serveur doté d'une version vulnérable d'OpenSSL, l'accès à la base de données 64 de l'espace de stockage privé. L’attaque a révélé une fuite de cookies de serveur, de mots de passe et d’adresses de messagerie. Ont été concernés d’excellents services tels que Yahoo Mail et LastPass.

La solution à de tels scénarios est Perfect Forward Secrecy: avec la méthode dite Diffie-Hellman, les deux partenaires de communication - dans ce cas, le navigateur Web et le serveur - conviennent d’une clé de session temporaire. Cela ne sera jamais transféré. Une fois la session terminée, la clé est détruite.

PFS dans la pratique et l'avenir

Malheureusement, il y a deux mauvaises nouvelles:

1. Actuellement, seuls quelques sites Web utilisent PFS.
2. Toutes les données précédemment échangées ne peuvent plus être cryptées.

Néanmoins, au moins à partir de maintenant, les pages Web doivent implémenter Perfect Forward Secrecy pour garantir qu’aucune donnée ne puisse être lue tôt ou tard malgré le cryptage.

Ivan Ristic de Security Labs recommande les suites suivantes pour la mise en œuvre de PFS:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Les webmasters peuvent tester leur site Web sur ssllabs.com puis décider des mesures à prendre.

Après la mise en œuvre de Perfetct Forward Secrecy, des services tels que la NSA et la BND ne peuvent lire des données qu’en utilisant des attaques par interception. Dans tous les autres cas, FPS sera une grosse épine dans l'œil des oreilles indiscrètes.

LAISSEZ UNE RÉPONSE

S'il vous plaît entrer votre commentaire!
S'il vous plaît entrer votre nom ici