mission sécurité dans un monde imparfait

> À TÉLÉCHARGER – MISSION SÉCURITÉ DANS UN MONDE IMPARFAIT
Placez vos sites Web sous protection
durable avec PFS (Perfect Forward
Secrecy)
Web majeurs a déjà mis en péril des millions de
mots de passe, numéros de cartes bancaires et
autres données personnelles.
temporaire et partagée pour échanger des informations en
Vous ne souhaitez pas qu’un inconnu lise vos
e-mails. Et encore moins qu’un cybercriminel fasse
main basse sur les données de votre carte bancaire.
C’est là que la confidentialité persistante (ou
Perfect Forward Secrecy, PFS) intervient. Sa mis­
sion : bloquer les accès malveillants aux clés pri­
vées d’un serveur. PFS offre un degré de protection
absent des produits OpenSSL classiques. Avec
PFS, vous êtes protégé même en cas d’infiltration
malveillante de votre serveur.
n’expose pas forcément les données sensibles échangées.
Rappelons que la fiabilité des certificats SSL n’est
nullement mise en cause. Symantec vous propose
un utilitaire gratuit destiné à vérifier la bonne
installation de votre certificat et des derniers
dispositifs de protection en vigueur.
supplémentaire. Un hacker qui piraterait la clé privée ne pour-
C’est pourquoi certaines pages Web sont sécurisées
par le protocole HTTPS. Dans HTTPS, le « S » signifie
« Sécurisé ». Ce protocole utilise une clé publique
et une clé privée pour crypter les communications
entre un navigateur et un serveur. Ces échanges
restent ainsi à l’abri des regards indiscrets.
C’est du moins ce que tout le monde pensait…
… jusqu’à l’arrivée de Heartbleed. La faille de
sécurité a en effet mis en évidence la vulnérabilité
des sessions HTTPS dès lors qu’un pirate connaît
la clé privée d’un serveur. Une fois en possession
de cette clé, plus rien ne l’empêche de déchiffrer
des informations cryptées et de lire les messages
envoyés au serveur.
Autrement dit, une simple clé permet d’accéder
à une mine de données. Or, d’après certaines
estimations, deux serveurs Internet sur trois dans
le monde seraient à la merci de Heartbleed. La
compromission d’équipements réseaux et de sites
Pour vérifier votre certificat, rendez-vous sur
https://ssltools.websecurity.symantec.com/checker/
views/certCheck.jsp
toute confidentialité.
Avec PFS, la compromission de la clé privée d’un serveur
Pourquoi ? Les sites dotés de la fonction PFS génèrent une
clé de session éphémère qui reste secrète, même en cas de
compromission de la clé privée permanente. Dès lors que les
deux parties suppriment la clé de session partagée une fois
leur transaction terminée, la sécurité PFS est assurée.
En clair, même en cas d’interception de la communication,
la confidentialité persistante assure un degré de protection
rait donc toujours pas récupérer la clé secrète, temporaire et
partagée. Il serait donc incapable de décrypter toute communi­
cation. Au cours d’une session, la fonction PFS modifie par
ailleurs en permanence les éléments de la clé et génère une
nouvelle clé pour chaque message d’une conversation.
UN USAGE LOIN D’ÊTRE GÉNÉRALISÉ
Au vu de tels avantages, pourquoi les sites Web ne se dotent-ils
pas tous de la fonction PFS ? Tout d’abord, pour des questions
de coûts. Sensiblement plus complexe que les techniques
classiques, le système de cryptographie de PFS consomme
SÉCURITÉ ET FIABILITÉ
Alternative au principal mode de cryptage sur Internet, PFS
utilise l’algorithme de Diffie-Hellman pour générer des clés
éphémères. Contrairement à un algorithme de chiffrement
davantage de puissance de calcul. L’algorithme Diffie-Hellman
étant par ailleurs plus lent, de nombreuses entreprises ont
préféré désactiver la fonction pour améliorer les performances
de leurs sites.
ou de déchiffrement, PFS permet aux deux parties d’une
communication de générer une clé de session secrète,
SUITE...
Copyright © 2015 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des
marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d’autres pays. Les autres noms peuvent être des marques commerciales de
leurs détenteurs respectifs.
Mais comme l’a démontré la faille Heartbleed, l’absence de
PFS peut être bien plus lourde de conséquences qu’un site
Web légèrement ralenti. Même avant Heartbleed, certains sites
précurseurs l’avaient déjà bien compris. Twitter a ainsi choisi
d’instaurer PFS pour protéger ses informations des espions et
autres cybercriminels. Google a suivi la même voie.
SÉCURITÉ MAINTENANT, ET POUR LONGTEMPS
La vulnérabilité Heartbleed a mis en évidence l’importance
cruciale de la fonction PFS dans le contexte actuel. « Aujour­
d’hui comme demain, que la menace soit un bug logiciel, un
vol de clé interne, une demande de surveillance secrètement
Symantec intègre la technologie ECC à tous ses certificats
Symantec™ Secure Site Pro SSL, sans aucun surcoût. Les
certificats racines Symantec ECC sont en place depuis plus de
cinq ans. Vous avez ainsi l’assurance que vos certificats ECC
fonctionneront sur l’ensemble de votre écosystème.
formulée par un gouvernement ou une nouvelle révolution
Aujourd’hui comme demain, Symantec veille à la sécurité de
La grande majorité des sites HTTPS ne prend cependant tou-
cryptographique, l’avantage de la confidentialité persistante est
votre site Web – une solution parfaite pour un monde imparfait.
jours pas en charge PFS. Si les clés privées de ces sites ve­
de rompre toute relation entre la confidentialité des sessions
naient un jour à être compromises, une grande part de leurs
actuelles et la capacité future à préserver le secret de certaines
communications passées pourrait alors être décryptée. En
informations », écrit Yan Zhu de la fondation Electronic Frontier
janvier 2014, seuls 5 % des sites Web à couche de transport
Foundation, une association qui œuvre pour la défense des
sécurisée étaient configurés pour utiliser des suites de chif­
libertés civiles dans le monde digital.
frement permettant de déployer la fonction PFS dans les navi­
gateurs Web. C’est ce qui ressort du baromètre SSL Pulse, un
projet de suivi de la qualité de la protection SSL sur 1 million de
sites Web.
PFS n’est cependant pas une affaire de choix entre risque et
performance. En fait, les sites Web peuvent même y recourir
sans sacrifier la vitesse ou la performance.
Ce n’est pas le cas avec les systèmes classiques de génération
de clés. Si demain une clé privée est dérobée, les informations
stockées sur un serveur deviennent vulnérables, quelle que soit
leur ancienneté.
La longue expérience de Symantec dans le domaine de l’ECC
en fait le choix idéal pour les sites Web qui souhaitent déployer
PFS sans compromis sur la vitesse ou la performance. Sur ce
Certes, comparé aux méthodes classiques de génération de
terrain, l’ECC surclasse les méthodes classiques de génération
clés, le protocole Diffie-Hellman sollicite beaucoup plus les
de clés. Ajoutez à cela deux autres avantages :
processeurs. Toutefois, l’algorithme Diffie-Hellman à courbes
elliptiques − une variante qui prend également en charge PFS
– est beaucoup moins gourmand en CPU. La cryptographie
à courbes elliptiques (ECC) permet en effet d’accroître les
performances de l’algorithme, et donc de PFS.
•À
terme, les performances de l’ECC devraient considérable­
ment s’améliorer au fil de ses optimisations.
•Q
ui dit meilleures performances dit aussi baisse des achats
de serveurs pour gérer les connexions SSL, et donc baisse
des coûts.
POUR DISCUTER AVEC UN CONSEILLER SÉCURITÉ
SYMANTEC
composez le 0800 90 43 51
ou le +41 (0) 26 429 77 24
ou écrivez-nous à [email protected]
Symantec France
Symantec Website Security Solutions,
Tour Egée, 17, avenue de l’Arche
92671 Courbevoie Cedex
France
www.symantec.fr/ssl