Pourquoi est-ce que tous les sites en HTTP sont vulnérables ?

7 mai 2017 - Publié par Vincent

Le HTTP (HyperText Transfer Protocol) est un protocole d’échange d’informations très utilisé sur le web, toutefois à lui seul il n’assure pas une communication sécurisée. Les données sont échangées en clair et aucune vérification n’est faite pour savoir si celles-ci n’ont pas été modifiées pendant le transport sur le réseau.

Pour parer à cela, l’utilisation du protocole HTTP doit être associée à une couche de sécurité supplémentaire comme TLS (ou anciennement SSL), le protocole devient alors HTTPS pour HyperText Transfer Protocol Secure.

Attaque de l’homme du milieu

Les sites en HTTP sont vulnérables à l’attaque dite par l’homme du milieu (ou man in the middle). Cela consiste pour un attaquant à se placer sur le réseau, entre le client et le serveur afin d’intercepter les requêtes.

Situation normale

Attaque de l’homme du milieu

Les attaques de type “homme du milieu” permettent à l’attaquant de lire et modifier les données transitant sur le réseau (contenu des pages, login/mot de passe envoyés…) sans que le client ou le serveur ne se rende compte de quelque chose.

Un exemple d’attaque par l’homme du milieu ? Quantum Insert, c’est le nom de code d’un projet supposé de la NSA américaine qui, d’après les révélations d’Edward Snowden, consisterait à intercepter les requêtes Web vers des sites légitimes pour injecter des malwares afin de compromettre des postes ciblés.

La surcouche TLS (Transport Layer Security) permet d’éviter l’attaque par l’homme du milieu en ajoutant les propriétés suivantes : le chiffrement des données, l’ajout d’un hash de vérification de l’intégrité des données ainsi que l’authentification du serveur distant (et dans certains cas également du client).

En savoir plus sur TLS: https://tools.ietf.org/html/rfc5246

Certains sites critiques toujours en HTTP

Le site de l’ANSSI est disponible depuis peu en HTTPS (depuis octobre 2016).
Le CERT gouvernemental français, ayant pour but de renforcer la protection des réseaux de l’État contre les attaques, n’est lui pas en HTTPS.

D’autres sites institutionnels ne le sont pas :

ce qui est le cas aussi pour :

A l’opposé de vouloir montrer du doigt tel ou tel, ces exemples insistent sur l’importance de sensibiliser aux risques de sécurité informatique tous les secteurs, y compris les plus hautes instances de l’État. L’utilisation du HTTPS ne doit pas être réservée aux transactions sensibles comme le paiement en ligne mais généralisée à toutes les pages d’un site web car le HTTPS ne protège pas seulement la vie privée mais garantit l’intégrité des informations envoyées et reçues.