mission sécurité dans un monde imparfait
Transcription
mission sécurité dans un monde imparfait
> À TÉLÉCHARGER – MISSION SÉCURITÉ DANS UN MONDE IMPARFAIT Placez vos sites Web sous protection durable avec PFS (Perfect Forward Secrecy) Web majeurs a déjà mis en péril des millions de mots de passe, numéros de cartes bancaires et autres données personnelles. temporaire et partagée pour échanger des informations en Vous ne souhaitez pas qu’un inconnu lise vos e-mails. Et encore moins qu’un cybercriminel fasse main basse sur les données de votre carte bancaire. C’est là que la confidentialité persistante (ou Perfect Forward Secrecy, PFS) intervient. Sa mis sion : bloquer les accès malveillants aux clés pri vées d’un serveur. PFS offre un degré de protection absent des produits OpenSSL classiques. Avec PFS, vous êtes protégé même en cas d’infiltration malveillante de votre serveur. n’expose pas forcément les données sensibles échangées. Rappelons que la fiabilité des certificats SSL n’est nullement mise en cause. Symantec vous propose un utilitaire gratuit destiné à vérifier la bonne installation de votre certificat et des derniers dispositifs de protection en vigueur. supplémentaire. Un hacker qui piraterait la clé privée ne pour- C’est pourquoi certaines pages Web sont sécurisées par le protocole HTTPS. Dans HTTPS, le « S » signifie « Sécurisé ». Ce protocole utilise une clé publique et une clé privée pour crypter les communications entre un navigateur et un serveur. Ces échanges restent ainsi à l’abri des regards indiscrets. C’est du moins ce que tout le monde pensait… … jusqu’à l’arrivée de Heartbleed. La faille de sécurité a en effet mis en évidence la vulnérabilité des sessions HTTPS dès lors qu’un pirate connaît la clé privée d’un serveur. Une fois en possession de cette clé, plus rien ne l’empêche de déchiffrer des informations cryptées et de lire les messages envoyés au serveur. Autrement dit, une simple clé permet d’accéder à une mine de données. Or, d’après certaines estimations, deux serveurs Internet sur trois dans le monde seraient à la merci de Heartbleed. La compromission d’équipements réseaux et de sites Pour vérifier votre certificat, rendez-vous sur https://ssltools.websecurity.symantec.com/checker/ views/certCheck.jsp toute confidentialité. Avec PFS, la compromission de la clé privée d’un serveur Pourquoi ? Les sites dotés de la fonction PFS génèrent une clé de session éphémère qui reste secrète, même en cas de compromission de la clé privée permanente. Dès lors que les deux parties suppriment la clé de session partagée une fois leur transaction terminée, la sécurité PFS est assurée. En clair, même en cas d’interception de la communication, la confidentialité persistante assure un degré de protection rait donc toujours pas récupérer la clé secrète, temporaire et partagée. Il serait donc incapable de décrypter toute communi cation. Au cours d’une session, la fonction PFS modifie par ailleurs en permanence les éléments de la clé et génère une nouvelle clé pour chaque message d’une conversation. UN USAGE LOIN D’ÊTRE GÉNÉRALISÉ Au vu de tels avantages, pourquoi les sites Web ne se dotent-ils pas tous de la fonction PFS ? Tout d’abord, pour des questions de coûts. Sensiblement plus complexe que les techniques classiques, le système de cryptographie de PFS consomme SÉCURITÉ ET FIABILITÉ Alternative au principal mode de cryptage sur Internet, PFS utilise l’algorithme de Diffie-Hellman pour générer des clés éphémères. Contrairement à un algorithme de chiffrement davantage de puissance de calcul. L’algorithme Diffie-Hellman étant par ailleurs plus lent, de nombreuses entreprises ont préféré désactiver la fonction pour améliorer les performances de leurs sites. ou de déchiffrement, PFS permet aux deux parties d’une communication de générer une clé de session secrète, SUITE... Copyright © 2015 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d’autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. Mais comme l’a démontré la faille Heartbleed, l’absence de PFS peut être bien plus lourde de conséquences qu’un site Web légèrement ralenti. Même avant Heartbleed, certains sites précurseurs l’avaient déjà bien compris. Twitter a ainsi choisi d’instaurer PFS pour protéger ses informations des espions et autres cybercriminels. Google a suivi la même voie. SÉCURITÉ MAINTENANT, ET POUR LONGTEMPS La vulnérabilité Heartbleed a mis en évidence l’importance cruciale de la fonction PFS dans le contexte actuel. « Aujour d’hui comme demain, que la menace soit un bug logiciel, un vol de clé interne, une demande de surveillance secrètement Symantec intègre la technologie ECC à tous ses certificats Symantec™ Secure Site Pro SSL, sans aucun surcoût. Les certificats racines Symantec ECC sont en place depuis plus de cinq ans. Vous avez ainsi l’assurance que vos certificats ECC fonctionneront sur l’ensemble de votre écosystème. formulée par un gouvernement ou une nouvelle révolution Aujourd’hui comme demain, Symantec veille à la sécurité de La grande majorité des sites HTTPS ne prend cependant tou- cryptographique, l’avantage de la confidentialité persistante est votre site Web – une solution parfaite pour un monde imparfait. jours pas en charge PFS. Si les clés privées de ces sites ve de rompre toute relation entre la confidentialité des sessions naient un jour à être compromises, une grande part de leurs actuelles et la capacité future à préserver le secret de certaines communications passées pourrait alors être décryptée. En informations », écrit Yan Zhu de la fondation Electronic Frontier janvier 2014, seuls 5 % des sites Web à couche de transport Foundation, une association qui œuvre pour la défense des sécurisée étaient configurés pour utiliser des suites de chif libertés civiles dans le monde digital. frement permettant de déployer la fonction PFS dans les navi gateurs Web. C’est ce qui ressort du baromètre SSL Pulse, un projet de suivi de la qualité de la protection SSL sur 1 million de sites Web. PFS n’est cependant pas une affaire de choix entre risque et performance. En fait, les sites Web peuvent même y recourir sans sacrifier la vitesse ou la performance. Ce n’est pas le cas avec les systèmes classiques de génération de clés. Si demain une clé privée est dérobée, les informations stockées sur un serveur deviennent vulnérables, quelle que soit leur ancienneté. La longue expérience de Symantec dans le domaine de l’ECC en fait le choix idéal pour les sites Web qui souhaitent déployer PFS sans compromis sur la vitesse ou la performance. Sur ce Certes, comparé aux méthodes classiques de génération de terrain, l’ECC surclasse les méthodes classiques de génération clés, le protocole Diffie-Hellman sollicite beaucoup plus les de clés. Ajoutez à cela deux autres avantages : processeurs. Toutefois, l’algorithme Diffie-Hellman à courbes elliptiques − une variante qui prend également en charge PFS – est beaucoup moins gourmand en CPU. La cryptographie à courbes elliptiques (ECC) permet en effet d’accroître les performances de l’algorithme, et donc de PFS. •À terme, les performances de l’ECC devraient considérable ment s’améliorer au fil de ses optimisations. •Q ui dit meilleures performances dit aussi baisse des achats de serveurs pour gérer les connexions SSL, et donc baisse des coûts. POUR DISCUTER AVEC UN CONSEILLER SÉCURITÉ SYMANTEC composez le 0800 90 43 51 ou le +41 (0) 26 429 77 24 ou écrivez-nous à [email protected] Symantec France Symantec Website Security Solutions, Tour Egée, 17, avenue de l’Arche 92671 Courbevoie Cedex France www.symantec.fr/ssl