Jeudi 29 juin 2017
NASDAQ : 6188.9224 44.6357   nasdaq0.72 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

ACTUALITES

HSTS, la nouvelle norme pour garantir la sécurité des sites web

Imprimer Envoyer à un ami Contacter la rédaction
Par Marie Varandat le 28/11/2012 - indexel.net
 
Hsts-norme-garantir-securite-sites-web

Hissé au rang de norme par l’IETF, HSTS garantit l’application d’une politique de sécurité stricte sur le web en interdisant toute connexion non sécurisée.

 

Les années passent, les rustines se multiplient mais les attaques sur Internet ne faiblissent pas. En témoignent les alertes récurrentes émises par les éditeurs de navigateur, notamment. Pour gagner en efficacité sur la sécurité, l'internet Engineering Task Force (IETF), organisme chargé de développer et de promouvoir les standards de l'internet, vient de valider une nouvelle norme : HTTP Strict Transport Security ou HSTS.

Brèches dans les accès sécurisés

HSTS ne remet pas en cause les protocoles actuellement utilisés sur le web, il les renforce. En effet, les sites web utilisent le protocole HTTP pour afficher leurs pages et HTTPS quand il s'agit d'une version sécurisée d'une page. En théorie, les informations transmises entre un serveur et le navigateur à l'aide de HTTPS ne peuvent pas être lues par d'autres que le visiteur et son site puisqu'elles sont chiffrées. Toutefois, un pirate peut tirer profit d'un clic sur un lien redirigeant un utilisateur en HTTPS vers une page en HTTP ou plus simplement d'une ''mauvaise'' implémentation de HTTPS. Certaines attaques baptisées ''Man In The Middle'' exploitent en effet les erreurs de développement pour se placer entre le navigateur et le serveur et ainsi intercepter une requête, récupérer un cookie et détourner le compte d'un utilisateur.

Renforcer la politique de sécurité

HSTS limite les risques de ces attaques en indiquant au navigateur que toutes les pages d'un site doivent être utilisées dans leur version HTTPS. En d'autres termes, un site s'appuyant sur HSTS appliquera une politique de sécurité stricte interdisant toute connexion non sécurisée entre le navigateur et le serveur. Pour l'heure, seuls quelques sites ont implémenté HSTS dont notamment ceux de Google ou encore Paypal. Idem coté navigateurs, Internet Explorer (Microsoft) et Safari (Apple) font figure de retardataires face à Chrome, Firefox et Opera qui supportent déjà la nouvelle norme de l'IETF.

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages