Auteur Sujet: HTTP Strict Transport Security  (Lu 60975 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 723
    • Twitter LaFibre.info
HTTP Strict Transport Security
« le: 27 janvier 2015 à 15:45:59 »
surtout HSTP
HSTP ?

Tu voulais parler de HSTS, non ? (HTTP Strict Transport Security)

Je suis en train de l'activer, cela permet d'avoir un A+ sur Qualys SSL Labs.

Avec apache, cela nécessite d'activer le mod header : sudo a2enmod headers
On rajoute dans la conf https du serveur web la ligne suivante :
        # Utiliser HSTS (HTTP Strict Transport Security) pour forcer le navigateur a contacter le nom de domaine pendant 1an que en https
        Header always set Strict-Transport-Security "max-age=31536000; preload"

Il faut faire attention de ne pas suivre l'exemple proposé sur Wikipedia avec "includeSubDomains;" si tous les sous-domaine ne sont pas en https.
Pour lafibre.info, les speedtest utilisent un sous-domaine et se font en http donc il ne faut surtout pas mettre cette directive, sinon les autres sous-domaines ne sont plus accessibles en http.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 151
  • Paris (75)
HTTP Strict Transport Security
« Réponse #1 le: 27 janvier 2015 à 15:55:39 »
oui typo, HSTS.

corrector

  • Invité
HTTP Strict Transport Security
« Réponse #2 le: 27 janvier 2015 à 16:03:23 »
Google recommande un 301 et surtout HSTS ( https://support.google.com/webmasters/answer/6073543?hl=fr )
En théorie, oui c'est une bonne chose.

En pratique, les navigateurs empêchent de passer outre les erreurs de certificats, et je ne connais pas de moyen de contourner ça. Et pour moi ça c'est juste inadmissible.

Et deux fois plus pour un logiciel "libre".

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 480
  • Malissard (26)
HTTP Strict Transport Security
« Réponse #3 le: 27 janvier 2015 à 16:08:51 »
Sans doute à cause des auto-signé que beaucoup de monde utilise :
 - sur le site de recette/pré-prod/dev
 - sur le site monté à l'arrache pour des besoins internes
 - passe que ça va plus vite à faire

corrector

  • Invité
HTTP Strict Transport Security
« Réponse #4 le: 27 janvier 2015 à 17:43:54 »
Pour Chrome il y a l'option   --ignore-certificate-errors

vivien

  • Administrateur
  • *
  • Messages: 47 723
    • Twitter LaFibre.info
HTTP Strict Transport Security
« Réponse #5 le: 27 janvier 2015 à 17:55:25 »
Cela abaisse fortement la sécurité, tu ne vois plus les attaques de type Man in The Middle qui se font massivement en Chine (pour voir les données chiffrées) et dans certaines entreprises ou chez l'opérateur Gogo aux USA :

Gogo bloque YouTube dans les avions avec un technique de pirate

Un ingénieur de Google a découvert que Gogo, FAI spécialisé à destination des usagers de nombreuses compagnies aériennes, remplaçait les certificats HTTPS de sites web comme YouTube avec ses propres certificats. Une technique de type Man in The Middle que Gogo indique utiliser uniquement pour limiter le trafic data web en vol et non pour espionner les passagers.



Certains passagers de compagnies aériennes s'y prendront peut être à deux fois avant de se connecter à Internet en plein vol. Gogo, spécialisé dans l'accès WiFi dans les avions de nombreuses compagnies aériennes (American Airlines, Delta Air Lines, Japan Airlines, Virgin America...), inspecte en effet de très près le trafic web des passagers. Un peu trop peut être, Gogo allant jusqu'à remplacer les certificats HTTPS de certains sites avec les siens.

La société indique que cette procédure, qui techniquement s'apparente à une attaque de type Man in The Middle (MiTM), est seulement effectuée pour quelques sites de streaming vidéo dans le cadre de ses efforts pour limiter ou bloquer l'utilisation de ce types de services. Ce problème a été découvert par hasard par Adrienne Porter Felt, ingénieur et chercheur de l'équipe de sécurité Google Chrome, qui a remarqué la présence d'un étrange certificat HTTPS lorsqu'elle a tenté d'accéder à Youtube.com via le WiFi Gogo au cours d'un vol.

La technique MiTM permet d'accéder à des informations sensibles

En réponse, Gogo a publié une réaction par le biais de son directeur technique, Anand Chari : « En ce moment, Gogo travaille sur de nombreuses façons d'apporter plus de bande passante dans un avion. Jusqu'à présent, nous avons annoncé que nous ne supportions pas le support de différents sites de streaming vidéo en utilisant plusieurs techniques pour limiter/bloquer le streaming vidéo. Quelque soit la technique utilisée, celle-ci n'affecte pas la sécurité du trafic web dans son ensemble mais est utilisée pour assurer que tout le monde puisse dans l'avion accéder à une bonne expérience de navigation ».

Et Anand Chari d'assurer qu'aucune information utilisateur n'est collectée lorsque de telles techniques sont utilisées. Et ce, bien que l'utilisation de techniques de type MiTM permettent justement d'intercepter des informations transitant entre le terminal de l'utilisateur et le proxy de Gogo mais également d'accéder à des données potentiellement sensibles relatifs aux comptes des utilisateurs. Le fait d'utiliser une technique MiTM pour limiter le streaming vidéo ne manque cependant pas de laisser perplexe, car il existe bien d'autres moyens pour bloquer ou limiter les accès aux services web tels que ceux de streaming vidéo sans intercepter tous les paquets.


Source : Le Monde Informatique Article de Dominique Filippone, le 6 janvier 2015.

vivien

  • Administrateur
  • *
  • Messages: 47 723
    • Twitter LaFibre.info
HTTP Strict Transport Security
« Réponse #6 le: 27 janvier 2015 à 18:02:35 »
Pour la chine : Un article publié la semaine dernière mais il y en a régulièrement, la Chine a une véritable expertise technique dans le MITM...

Chine : une attaque 'Man in the middle' sur les messageries Outlook

Sécurité : Selon le site GreatFire.org, une attaque Man in the middle aurait été détectée en Chine, visant les utilisateurs du service de messagerie Outlook de Microsoft. L’association de défense des libertés soupçonne l’administration chinoise d’être à l’origine de l’attaque.

Le site Greatfire.org, qui surveille la politique toute particulière du gouvernement chinois face à Internet, tire à nouveau la sonnette d’alarme suite à des informations faisant état d’une attaque de type man in the middle visant les utilisateurs de la messagerie Outlook. L’attaque semble avoir été ponctuelle et n’avoir duré qu’une journée, selon l’association, mais ce signalement vient renforcer les inquiétudes à l’égard de la Chine.

Il faut rappeler que l’accès à Gmail reste perturbé sur le territoire chinois et selon l’association Greatfire.org, des attaques comparables à celle subie par Outlook ont déjà été constatées, sur différents services de messageries.

L’attaque 'Man in the Middle', comme son nom l’indique, consiste à se faire passer pour un destinataire afin d’intercepter les flux entrant et sortants sans que l’utilisateur ne soit capable de détecter la différence dans le fonctionnement du service.
Certificats biaisés

Plus précisèment, Greatfire.org s’inquiète du rôle joué par le China Internet Network Information Center (CNNIC), organisme directement placé sous la coupe du ministère de l’information et qui joue également le rôle d’autorité de certification. Ces certificats sont en effet le moyen généralement utilisé pour s’assurer que l’interlocuteur est bien celui qu’il prétend être dans le cadre d’une connexion internet. Le site Greatfire.org précise néanmoins qu’un message d’avertissement est présenté à l’utilisateur, qui peut alors décider de ne pas poursuivre la connexion.

Greatfire invite les acteurs tels que Microsoft et Apple à ne plus faire automatiquement confiance aux certificats signés par le CNNIC, arguant que les certificats approuvés par l’autorité ont fréquemment été identifiés dans plusieurs cas d’attaque similaires. Mozilla en 2010 se posait déjà la question de savoir si oui ou non l’autorité chinoise devait être par défaut considérée comme une autorité de certification valide et digne de confiance.

Contacté par Zdnet.com, Microsoft reconnait avoir été alerté de cette attaque et recommande aux utilisateurs affectés de contacter leurs fournisseurs d’accès pour obtenir de l’aide. L’attaque ne vise que les utilisateurs du client mail d’Outlook ou via les clients pour terminaux mobiles, les utilisateurs passant par l’interface web (Outlook.com) ne semblent pas affectés.


Source : ZD Net le Mardi 20 Janvier 2015 par Par Louis Adam

vivien

  • Administrateur
  • *
  • Messages: 47 723
    • Twitter LaFibre.info
HTTP Strict Transport Security
« Réponse #7 le: 27 janvier 2015 à 18:06:16 »
La Chine aurait mené une attaque Man in the Middle contre iCloud

Le cryptage des données par Apple n'est pas du goût de la Chine. Le pays aurait donc décidé de s'attaquer à iCloud pour surveiller ses citoyens.

Alors que les iPhone 6 et 6 plus viennent d’arriver en Chine, Great Fire, une organisation à but non lucratif qui s’est fixé pour but de surveiller la censure d’Internet dans le pays, affirme que les autorités locales ont procédé à une attaque Man in the Middle sur iCloud.

Ce type d’attaque permet de récupérer des données en se plaçant entre deux parties sans qu’aucune ne se rende compte que le canal est compromis. Le gouvernement chinois chercherait ainsi à récolter des mots de passe et noms d’utilisateurs du service pour ensuite avoir accès à tous les documents stockés dans iCloud : photos, contacts, messages…

D’après Great Fire, certains navigateurs comme Chrome ou Firefox affichent une page d’erreur lorsque des utilisateurs cherchent à se connecter à iCloud depuis un ordinateur à l’inverse de Qihoo, le navigateur le plus utilisé en Chine.

Il y a peu, la firme de Cupertino avait annoncé qu’elle souhaitait stocker en Chine les données personnelles de ses utilisateurs locaux, mais qu’elles seraient cryptées, comme elle s’y était engagée dans sa nouvelle politique de protection des données.  Il n’y a semble-t-il pas que les autorités américaines qui « déplorent » le fait qu’Apple ait accentué le chiffrement des données des utilisateurs de ses smartphones…


Source : 01net, le 22 octobre 2014 par Cécile Bolesse.

vivien

  • Administrateur
  • *
  • Messages: 47 723
    • Twitter LaFibre.info
HTTP Strict Transport Security
« Réponse #8 le: 27 janvier 2015 à 18:21:33 »
J'ai un exemple de site qui a activé HTTP Strict Transport Security avec "includeSubDomains"

Or "includeSubDomains" devrait interdir d'accéer a un site en http avec le nom de domaine et ce n'est pas le cas.

Le site en question qui est en HTTP Strict Transport Security : https://dns.imt-systems.com
=> https://www.ssllabs.com/ssltest/analyze.html?d=dns.imt-systems.com

Pourtant, il est possible de surfer sur http://imt-systems.com

imt-systems.com ne s’applique pas avec la directive "includeSubDomains" ?

corrector

  • Invité
HTTP Strict Transport Security
« Réponse #9 le: 30 janvier 2015 à 04:26:51 »
Pour Chrome il y a l'option   --ignore-certificate-errors
Mauvaise idée.

En raison du comportement absolument inadmissible de Google Chrome concernant HSTS (= le fait que Chrome s'efforce de suive cette norme), j'ai été obligé de saccager HSTS directement dans le binaire de Chrome (très certainement en violation de la licence, mais faut pas me faire chier).

vivien

  • Administrateur
  • *
  • Messages: 47 723
    • Twitter LaFibre.info
HTTP Strict Transport Security
« Réponse #10 le: 30 janvier 2015 à 08:10:17 »
J'avais testé avec Firefox mais idem avec chrome : le site imt-systems est accessible en http alors que sont sous-domaine déclare le HTTP Strict Transport Security pour "includeSubDomains"

Je pense que "includeSubDomains" n'inclus pas le domaine parent

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 151
  • Paris (75)
HTTP Strict Transport Security
« Réponse #11 le: 30 janvier 2015 à 08:45:48 »
Pour info, un onglet 'security' est en cours de développement pour les DevTools (touche F12) de Chrome/Chromium.
C'est, pour le moment, prévu pour la version 43 donc la prochaine version de 'Chrome Canary' (version stable actuelle+2).

Ca permettra d'ausculter ce qui se passe au niveau sécurité.

un 'mockup' est dispo ici : https://craigfrancis.github.io/dev-security/#tls-hsts (on peut y peut click les differentes rubriques). ca ne sera pas forcement mis en oeuvre tel que mais ca donne une idée.