Pour gérer vos consentements :
Categories: Sécurité

Sécurité IT : Google établit la communication client-serveur sur HSTS

Le HSTS est désormais opérationnel pour l’ensemble des services fonctionnant sur le domaine google.com.

Ce mécanisme de politique de sécurité, dont l’acronyme est utilisé pour « HTTP Strict Transport Security », permet à un serveur Web de déclarer à un agent utilisateur – typiquement, un navigateur Web – qu’il doit interagir avec lui en utilisant obligatoirement une connexion chiffrée.

L’IETF (Internet Engineering Task Force) en définit les caractéristiques dans la recommandation RFC 6797.

La politique en question est communiquée à l’agent utilisateur via la réponse HTTP, dans le champ d’en-tête nommé « Strict-Transport-Security ».

Cela fonctionne aussi dans l’autre sens : les utilisateurs peuvent paramétrer l’option dans leur navigateur (prise en charge assurée dans Chrome et Firefox depuis 2010 ; dans Internet Explorer 11 depuis 2015 ; dans Opera depuis la version 12).

L’idée est d’éviter toute transmission d’informations en clair… notamment en supprimant la possibilité offerte par défaut aux utilisateurs de poursuivre la navigation malgré la présence d’un certificat expiré ou qui ne peut être validé.

HSTS s’inscrit dans la lignée de ForceHTTPS, sans toutefois s’appuyer sur l’envoi d’un cookie.

L’avantage pour le gestionnaire d’une ressource Web est de pouvoir appliquer une politique de sécurité sur l’ensemble du domaine associé. C’est ce qu’a fait Google, non sans se heurter à des problématiques allant des mauvaises balises HREF à la présence, sur une même page, de contenus HTTP et HTTPS.

Le prochain objectif est d’augmenter, la valeur max-age, qui correspond à la période de temps pendant laquelle l’agent utilisateur doit accéder au serveur uniquement de façon sécurisée.

En l’état, elle est fixée à un jour, le temps de s’assurer que l’implémentation HSTS est stable et sécurisée. Le but est de la porter à un an pour réduire la probabilité qu’une requête vers le domaine google.com se fasse sur protocole HTTP non sécurisé.

Pour le moment, cette mise en œuvre a une portée limitée, comme le souligne Silicon.fr. En effet, une étude menée par Netcraft en mars 2016 montre que 95 % des serveurs utilisant HTTPS n’exploitent pas HSTS ou le font avec des erreurs de configuration.

Crédit photo : JMiks – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

7 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago