Sécurisez votre surf

Lorsque vous allez sur le web avec votre portable ou votre ordinateur, vous utilisez le protocole http (hyper texte transfer protocole). Un protocole est un ensemble de règles et de normes qui permettent à deux machines de communiquer ensemble. Https est la version sécurisée du protocole http.

Lorsque vous visitez un site dont l’url commence par https (celui de votre banque par exemple) vous êtes assuré de trois choses :

L’Authenticité du site visité

Chaque site https dispose d’un certificat qu’il présente à votre navigateur lorsque celui-ci y accède. Votre navigateur dispose de son côté d’une base de données qui lui permet de vérifier la validité du certificat présenté. Le certificat correspond à la carte d'identité du site et est unique pour chaque site https.

La confidentialité des données échangées avec le site

Entre vous et le site visité, il existe de nombreux intermédiaires : le fournisseur d’accès, le ou les serveurs, un éventuel proxy, voire une personne malveillante (tout particulièrement lors de connexion sur des hotspots wifi ouverts). Une fois l’identité du site validée, un canal de communication chiffré est établi entre votre navigateur et le site vous garantissant qu'aucun intermédiaire entre vous et le site visité ne sera en mesure d'intercepter les informations échangées que ce soient les pages demandées, le contenu de celles-ci ou les mots de passe envoyés.

L’intégrité des données

L’utilisation du protocole https vous garantit également que personne ne peut modifier les données envoyées.

Casser du https

Il existe quelques moyens pour casser le canal sécurisé mis en place entre un site https et votre navigateur.

Bloquer les connexions https

C’est de loin le moyen le plus simple pour casser du https. Les sites qui proposent une version https sont la plupart du temps également accessibles en http. Un attaquant qui contrôlerait le réseau sur lequel vous vous connectez (votre fournisseur d’accès ou la connexion wifi partagée de votre hôtel) peut tout simplement fermer l’accès https et vous forcer à utiliser la version http non sécurisée.

Usurper l’identité d’un site https

Un attaquant peut se placer entre vous et le site auquel vous souhaitez accéder et rediriger votre trafic vers une copie du site disposant d'un faux certificat. C’est ce qu’on appelle l’Attaque de l’Homme du Milieu (Man in the Middle Attack).

Si vous allez sur Gmail, un attaquant qui aurait le contrôle du réseau et des serveur DNS peut dérouter votre requête et vous rediriger sur un autre site ressemblant en tout point au service de messagerie de Google. Le seul indice vous permettant de déjouer cette attaque est l’alerte de sécurité de votre navigateur.

Votre navigateur vous indiquera que le certificat du site n'est pas valable et que le site visité n'est pas celui qu'il prétend être.

Vol de certificat

Dans le cadre d’une attaque dite de l’Homme du milieu, il est possible en de très rares occasion que l’attaquant ait en sa possession une copie du certificat du site visé. Ce type d’attaque est extrêmement sophistiquée car elle suppose d’avoir préalablement volé un ou plusieurs certificats auprès d’une autorité de certification.

En aout 2011, la société Diginotar, émettrice de certificats, a été piratée et s’est faite voler ses certificats. Ceux-ci ont été utilisés, principalement en Iran, pour monter des attaques de l’Homme du milieu visant les services de Google. Ce type d’attaque est extrêmement efficace puisque votre navigateur, incapable de déceler la fraude, n'affiche aucune alerte de sécurité.

Quelques solutions

Il existe des astuces et des logiciels permettant d’améliorer la sécurité de votre surf.

Favorisez l’utilisation de Firefox ou Chrome

Mozilla, l’éditeur de Firefox, et Google, l’éditeur de Chrome, apportent un soin particulier aux aspects de sécurité. Ils ont par exemple été les premiers à mettre à jour les bases de données de certificats de leur navigateur lors du vol des certificats de Diginotar cité plus haut. Firefox a en plus l’avantage d’être un logiciel libre dont l’objectif est de garantir le sécurité et la vie privée de ses utilisateurs. Chrome, s’il met également l’accent sur la sécurité, n’est pas libre et n’offre pas les mêmes garanties en matière de respect de la vie privée.

Désactivez Java

Java est un langage multiplate-forme qui existe sous forme de plug-in pour tous les navigateurs. C’est un véritable gruyère en matière de sécurité. D’après l’éditeur d’antivirus Kaspersky, 50% des attaques répertoriées en 2012 ont utilisé des failles du plug-in java des navigateurs. Si vous n’avez pas besoin de java dans votre navigateur, désactivez-le ou mieux, désinstallez-le.

Boostez votre navigateur avec quelques extensions utiles

Il est possible d’ajouter des fonctionnalités à Firefox et Chrome à l’aide de plugins.

  • https everywhere : vérifie pour chaque site si une version https (chiffrée) existe et si oui vous redirige vers celle-ci. Cela vous évitera ainsi d’ajouter à la main le « s » de sécurisé après http après chaque adresse web, parce que personne ne fait ça, vraiment.
  • No script : vous permet de contrôler les scripts javascript lancés sur les sites web visités. Javascript est un langage de programmation largement utilisé sur le web. Il s’exécute dans votre navigateur et peut parfois être utilisé dans le cadre de certaines attaques (XSS et XSRF). Vous avez la possibilité d’autoriser certains sites à faire tourner javascript et l’extension retient vos choix. Fastidieux au départ mais indispensable pour surfer couvert. L’équivalent pour chrome est scriptsafe.
  • Web of trust : fonctionne sur le modèle du crowdsourcing (info donnée par la foule) et vous indique si un site est sûr en fonction de l’avis d’autres internautes. Si vous débarquez sur un site réputé être un nid de scripts malveillants, WOT vous affichera une alerte avant que la page ne se charge.