Comment la navigation sur le Web devient encore plus sécurisée
La richesse des informations personnelles que nous partageons en ligne a augmenté de manière exponentielle depuis 1994, année de la création du protocole SSL (Secure Sockets Layer)..
Pourquoi les mots de passe sont-ils toujours meilleurs que les mots de passe et les empreintes digitales? Pourquoi les mots de passe sont-ils encore meilleurs que les mots de passe et les empreintes digitales? Rappelez-vous quand les mots de passe n'ont pas à être compliqués? Quand les NIP étaient-ils faciles à retenir? Ces temps sont révolus et les risques de cybercriminalité font que les scanners d'empreintes digitales sont quasiment inutiles. Il est temps de commencer à utiliser les codes d'authentification… Plus d'informations, les coordonnées de carte de crédit et les données bancaires en ligne 6 raisons de bon sens pour lesquelles vous devriez effectuer vos opérations bancaires en ligne si vous n'êtes pas déjà [opinion] 6 raisons de sens commun pour lesquelles vous devriez effectuer vos opérations bancaires en ligne si vous n'êtes pas Déjà [Opinion] Comment faites-vous habituellement vos opérations bancaires? Vous rendez-vous à votre banque? Attendez-vous dans de longues files, juste pour déposer un chèque? Recevez-vous des relevés mensuels sur papier? Avez-vous classer ceux-ci ... Lire la suite. Nous avons des certificats SSL à remercier pour notre sécurité et notre confidentialité. Mais vous avez probablement entendu parler de failles récentes qui ont terni votre confiance dans le protocole cryptographique.
Heureusement, SSL s’adapte, est mis à niveau et remplacé pour vous donner une plus grande tranquillité d’esprit. Voici comment.
Qu'est-ce que SSL quand même??
Commençons avec ce qu'est exactement le protocole SSL Qu'est-ce qu'un certificat SSL et en avez-vous besoin d'un? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. Lire la suite .
Les certificats SSL sont des documents d'autorisation numériques pouvant être obtenus par une organisation ou une personne exécutant un site traitant des informations sensibles. Il garantit que les données peuvent être transportées en toute sécurité entre le serveur Web et le navigateur, que ces informations n'ont pas été interceptées et que leurs sources sont authentiques..
Découvrez Amazon, par exemple. Regardez l'URL et au lieu d'une adresse HTTP typique, vous devriez être redirigé vers une adresse HTTPS. Qu'est-ce que HTTPS et comment activer des connexions sécurisées par défaut? Qu'est-ce que HTTPS et comment activer des connexions sécurisées par défaut? se répandent loin et ont atteint la pointe de l'esprit de la plupart des gens. Des termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et ne sont pas seulement compris, mais aussi utilisés par… Read More - that additional “S” signifie que c'est un lien sécurisé HTTPS Everywhere: utilisez HTTPS au lieu de HTTP lorsque possible HTTPS Everywhere: utilisez HTTPS au lieu de HTTP si possible En savoir plus, et vous êtes sûr de payer pour des éléments via le site. Hotmail, WordPress et même Tumblr utilisent des certificats SSL.
C'est formidable pour le consommateur (qui sait que ses données sont traitées de manière responsable) et pour le vendeur (qui bénéficie non seulement de la confiance des acheteurs, mais qui est également mieux classé par Google)..
Cependant, rien n’est infaillible, et quelques failles SSL mises au jour au cours de la dernière année en témoignent. Heureusement, la navigation sur le Web redevient sécurisée…
Mises à niveau TLS
Vous avez peut-être déjà vu SSL et TLS (Transport Layer Security) être utilisés de manière interchangeable, et même si les différences sont peut-être subtiles, elles restent remarquables.
Les deux utilisent le même système de cryptage des données et de communication avec l'autorité de certification avant d'établir la connexion. TLS, cependant, est le successeur de SSL. Il est donc logique que TLS soit plus sûr. En effet, ses trois incarnations - TLS 1.0, 1.1 et 1.2 - corrigent certaines des vulnérabilités trouvées dans la méthode SSL.
TLS 1.3 existe depuis 2008, mais comme les défauts des versions précédentes étaient considérés comme minuscules, ils n'auraient aucune incidence sur “monde réel” situations, il a pris jusqu'à très récemment pour sa mise en œuvre de masse. En fait, en 2013, il est apparu que même la National Security Agency (NSA) ne ciblait pas les domaines exécutant des protocoles TLS, car très peu d’entre eux l’utilisaient. Maintenant, cependant, un mandat du Conseil de sécurité PCI a obligé tout site qui transmet ou traite des informations de titulaire de carte à la mise à niveau..
De plus, tous les principaux navigateurs - Google Chrome, Microsoft Edge, Safari, Firefox et Opera - prennent en charge TLS 1.2 par défaut, de sorte que le niveau de cryptage est assuré par les deux parties. Notez, cependant, que le mandat semble s’appliquer uniquement aux détails de paiement, pas aux informations de connexion..
Cryptage Partout
La mise à niveau des certificats n'est utile que si elle est largement adoptée, et ce n'est pas le cas. Tous les sites de commerce électronique ont besoin de pratiques de sécurité et la majorité d'entre eux devraient réellement utiliser SSL ou TLS. Beaucoup comptent sur la protection de tiers processeurs de paiement, tels que PayPal (cela semble être une faille dans le mandat du Conseil de sécurité PCI), mais si un site accepte les informations privées, il doit utiliser une couche sécurisée..
Si votre connexion n'est pas privée, les données, y compris l'adresse e-mail et le mot de passe lors de la connexion, peuvent être acquises par des pirates. Et parce que la plupart des gens ont tendance à utiliser les mêmes mots de passe. Les 7 tactiques les plus courantes utilisées pour pirater les mots de passe Les 7 tactiques les plus courantes utilisées pour pirater les mots de passe Lorsque vous entendez une "atteinte à la sécurité", qu'est-ce qui vous vient à l'esprit? Un pirate malveillant? Un enfant du sous-sol? En réalité, tout ce dont vous avez besoin est d’un mot de passe et les pirates informatiques ont 7 moyens d’obtenir le vôtre. En savoir plus sur plusieurs sites (malgré tous les avertissements. 7 erreurs de mot de passe qui risquent de vous avoir piraté. 7 erreurs de mot de passe susceptibles de vous faire piratage. Les pires mots de passe de 2015 ont été publiés et ils sont assez préoccupants. Mais ils montrent qu'il est absolument critique pour renforcer vos mots de passe faibles, avec juste quelques ajustements simples. En savoir plus), qui pourrait être une information vitale.
Néanmoins, de nombreux sites n'adoptent pas les protocoles SSL car cela peut être coûteux et compliqué. C'est là qu'intervient le programme Encryption Everywhere de Symantec.
La société de sécurité américaine propose un service freemium, grâce auquel le certificat est obtenu entièrement gratuitement, avec des mises à niveau (telles que des analyses de programmes malveillants) disponibles moyennant un coût. Les partenariats avec les sociétés d'hébergement simplifient la tâche des administrateurs de site, tandis que les mises à jour automatiques rationalisent le processus de gestion des vulnérabilités supplémentaires..
Ceci dans le but d'obtenir 100% d'utilisation de la couche de sécurité d'ici 2018, nous nous attendons donc à ce qu'il soit adopté par la majorité des sites très bientôt..
Cryptons
Mais attendez! Symantec n'est pas le seul à vouloir le cryptage SSL / TLS sur le Web.
Let's Encrypt semble surfer sur la vague de failles plus récentes; Lancé au public en décembre 2015, le projet compte déjà de nombreux sponsors internationaux, notamment Google Chrome, Mozilla, Facebook, Shopify, YunPian et Akamai. Dirigé par le groupe de recherche sur la sécurité Internet (ISRG), Let's Encrypt a, ce mois-ci, émis plus de 5 millions de certificats et prévoit 50% de chargement de page HTTPS d'ici la fin de l'année..
Pourquoi Let's Encrypt est-il si populaire? Simplement, comme c'est gratuit et automatisé, il est incroyablement facile pour les sites d'obtenir des certificats et des mises à niveau..
L'initiative commence par une nouvelle paire de clés privées et une preuve du propriétaire du domaine par l'autorité de certification; une fois que cela est vérifié à l'aide du protocole ACME (Automated Certificate Management Environment), le logiciel de site peut signer les messages de gestion de certificats avec la clé afin de renouveler et de révoquer des certificats, ou en créer de nouveaux pour le même domaine..
Nous venons de délivrer notre 5 millionième certificat!
- Let's Encrypt (@letsencrypt) 17 juin 2016
Let's Encrypt est sans doute le projet le plus connu pour offrir des certificats gratuits, et entre ces programmes majeurs, cela semble certainement être une cause de confiance..
Convergence
Vous pouvez être déçu par les certificats SSL, cependant.
Leur réputation a été endommagée ces dernières années: la plupart ont au moins entendu parler de Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? En savoir plus, une vulnérabilité de la bibliothèque de cryptographie à source ouverte, OpenSSL, qui permet aux pirates de lire des informations non chiffrées. Heartbleed a affecté de nombreux services. Creuser dans le battage médiatique: Heartbleed a-t-il réellement fait du mal à quelqu'un? Creuser dans le battage médiatique: Heartbleed a-t-il réellement blessé quelqu'un? En savoir plus, mais c'était il y a deux ans. Cinq atteintes à votre vie privée en 2014: cinq atteintes à votre vie privée en 2014, de nombreuses publications faisant la part belle à la vie privée de célébrités en 2014, année qui suit les projecteurs ont également brillé sur le grand public. Pouvons-nous apprendre quelque chose de ces violations? Lire la suite et un correctif est disponible. Mais l'année dernière, les propriétaires d'ordinateurs portables Lenovo étaient Superfish Attention: votre appareil a peut-être préinstallé des logiciels malveillants Lenovo Remarque: vos appareils ont peut-être préinstallé des logiciels malveillants Le fabricant chinois d'ordinateurs Lenovo a admis que les ordinateurs portables livrés aux magasins et aux consommateurs fin 2014 étaient dotés de logiciels malveillants préinstallés. En savoir plus, programmes malveillants rendant HTTPS inutile; Cela a également été corrigé. Superfish n'a pas encore été pris: piratage SSL expliqué Superfish n'a pas encore été capturé: piratage SSL expliqué Le programme malveillant Superfish de Lenovo a fait sensation, mais l'histoire n'est pas terminée. Même si vous avez supprimé le logiciel de publicité de votre ordinateur, la même vulnérabilité existe dans les autres applications en ligne. Lire la suite .
Et il n'est pas confiné à votre PC non plus: les applications de votre smartphone sont affectées. 1 000 applications iOS ont un bogue SSL invalidant: comment vérifier si vous êtes concernés 1 000 applications iOS ont un bogue SSL invalidant: comment vérifier si vous êtes concerné Le bogue AFNetworking est donner des problèmes aux utilisateurs d'iPhone et d'iPad, avec des milliers d'applications comportant une vulnérabilité entraînant une authentification correcte des certificats SSL, facilitant ainsi le vol d'identité par le biais d'attaques de type «man-in-the-middle». En savoir plus par les failles SSL aussi.
La convergence est donc un complément du navigateur que beaucoup confondent avec un système qui remplace les certificats SSL; plus que tout, c’est la prochaine étape pour les CA. Au lieu de faire confiance à une autorité de certification garantissant l'authenticité d'un site, Convergence se tourne vers les services d'un notaire pour attester de la sécurité du site..
Vous visitez une adresse HTTPS. Il y a trois résultats principaux: tous les notaires sont d'accord pour dire que c'est sûr, dans ce cas, vous utilisez le site; pas tous d'accord, mais vous pouvez aller avec la majorité ou rejeter le site parce que vous ne faites pas confiance aux notaires qui faire en témoigner; ou dans des cas extrêmes, la plupart ou tous les notaires s'accordent pour dire qu'il ne faut pas s'y fier. De cette façon, il n'y a pas de point d'échec unique.
Pensez-y de cette façon: c'est une convergence d'opinions sur le point de savoir si un utilisateur peut faire confiance au protocole HTTPS..
Comment Internet devient-il un moyen de sécurisation??
Pourquoi les appelons-nous encore certificats SSL? Ils devraient sûrement être des certificats TLS? #ssl #tls #MostBrowsersDontDoSSLAnymore
- Chris Pont (@chrispont) 7 juin 2016
En un mot: les certificats SSL qui authentifient les sites sont en cours de mise à niveau vers TLS, principalement dans des domaines tels que PayPal, qui traitent des informations de paiement. Ceux-ci sont en cours de déploiement en masse, dans le but d’utiliser 100% HTTPS dans les prochaines années. Les autorités de certification sont également en train d'être réévaluées et le module complémentaire de convergence apparaît comme une étape solide dans la vérification de la fiabilité d'un site en s'appuyant sur les notaires pour s'entendre..
Est-ce que ces mesures vous redonnent confiance en SSL? Le faites vous ressentir Comment saisir en ligne les détails de paiement? Quels autres protocoles de sécurité souhaiteriez-vous voir mis en œuvre à grande échelle??
Crédits image: HTTPS (WeTransfer) de Christiaan Colen; et https de Sean MacEntee.
En savoir plus sur: Cryptage, SSL.