HyperText Transfer Protocol Secure Sommaire Définition

Sommaire
HyperText Transfer Protocol
Secure
●
Définition
●
Fonctionnement
●
Sécurité du HTTPS
●
Le SSL
●
La négociation SSL
●
La communication SSL
●
Sources et répartition des tâches
ARETE Kevin / MILLET Lucas / BASILE Nicolas
Définition
Fonctionnement
HTTPS = HTTP + SSL
HTTP
L'HyperText Transfer Protocol Secure, plus connu sous l'abréviation HTTPS
littéralement « protocole de transfert hypertexte sécurisé » est la combinaison du
HTTP avec une couche de chiffrement comme SSL ou TLS.
●
HTTPS: c'est HTTP+SSL. HTTPS est généralement utilisé pour les transactions
financières en ligne : commerce électronique, banque en ligne, courtage en ligne,
etc. Il est aussi utilisé pour la consultation de données privées, comme les courriers
électroniques, par exemple. Depuis le début des années 2010, le HTTPS s'est
également généralisé sur les réseaux sociaux.
HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un
certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant
généralement partie de la liste blanche des navigateurs internet). Il garantit
théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur
(notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut
permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat
d'authentification client.
L'HyperText Transfer Protocol, plus connu
sous l'abréviation HTTP est un protocole de
communication client-serveur développé
pour le World Wide Web. HTTP est un
protocole de la couche application. Il peut
fonctionner sur n'importe quelle connexion
fiable, dans les faits on utilise le protocole
TCP comme couche de transport. Un
serveur HTTP utilise alors par défaut le port
80.
La communication entre le navigateur et le
serveur se fait en deux temps :
●
●
Le navigateur effectue une requête
HTTP
Le serveur traite la requête puis envoie
une réponse HTTP
SSL
Avec le développement d'Internet, de
nombreuses
sociétés
commerciales
commencent à proposer des achats en
ligne pour les particuliers. SSL est
protocole de sécurisation des échanges sur
internet. TLS fonctionne suivant un mode
client-serveur. Il fournit les objectifs de
sécurité suivants :
●
●
●
●
●
L'authentification du serveur
La
confidentialité
échangées
des
données
L'intégrité des données échangées
L'authentification du client avec
l'utilisation d'un certificat numérique
La spontanéité, la transparence
Sécurité et piratage du HTTPS
La sécurité des informations transmises par le protocole HTTPS est basée sur l'utilisation
d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat
d'authentification du site visité.
Le principe des certificats, outre les mécanismes de chiffrement asymétrique, repose
intégralement sur des chaînes de confiance gérées par des autorités de certification.
Lorsque votre navigateur souhaite s’assurer que le site web que vous visitez possède
bien un certificat SSL valide, il se base sur les données des autorités de certification, qui
font office de tiers de confiance.
le groupe de hackers allemands THC a mis au point un outil nommé THC-SSL-DOS
capable de mettre à genoux un site web utilisant HTTPS, et ce depuis une vulgaire
connexion ADSL. Le secret de l’outil : exploiter le fait qu’une négociation SSL demande
beaucoup plus de ressources au serveur qu’au client (facteur 15:1) et s’amuser à
redemander une négociation plusieurs milliers de fois à un serveur.
Le SSL
●
Comment ça marche SSL ? SSL consiste en 2 protocoles:
-
SSL Handshake protocol(La négociation):
Avant de communiquer, les 2 programmes SSL négocient des clés et des protocoles
de chiffrement communs.
- SSL Record protocol(La communication):
Une fois négociés, ils chiffrent toutes les informations échangées et effectuent divers
contrôles.
Partant du principe que les internautes précisent rarement le type de protocole dans les
URL et se contentent de suivre des liens, un chercheur en sécurité informatique a
développé une attaque afin de contourner le chiffrement de HTTPS. Le pirate se
positionne entre le client et le serveur et change les liens https: en http:, ainsi le
client envoie ses informations en clair via le protocole HTTP et non HTTPS. Il a réussi à
récupérer plusieurs centaines d’identifiants, informations personnelles et numéros de
cartes bancaires en 24 ,
La négociation SSL ("handshake")
La communication SSL ("record")
Au début de la communication le client et le serveur s'échangent:
Expéditeur :
Réception :
- la version SSL avec laquelle ils veulent travailler
- Découpe les données en paquets
- Déchiffre les données,
- la liste des méthodes de chiffrement (symétrique et asymétrique) et de signature
que chacun connaît (avec longueurs de clés)
- Compresse les données
- Vérifie la signature des données,
- Signe cryptographiquement les
données
- Décompresse les données
- les méthodes de compression que chacun connaît
- des nombres aléatoires
- Chiffre les données
- les certificats
- Les envoie
Client et serveur essaient d'utiliser le protocole de chiffrement le plus puissant et
diminuent jusqu'à trouver un protocole commun aux deux. Une fois que cela est fait,
ils peuvent commencer à échanger des données...
- Réassemble les paquets de données.
Sources et répartition des tâches
Sources :
●
http://fr.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure
●
http://www.sebsauvage.net/comprendre/ssl/
●
http://fr.wikipedia.org/wiki/Secure_Sockets_Layer
●
http://fr.wikipedia.org/wiki/Chiffrement
●
https://fr.wikipedia.org/wiki/HTTP
●
http://www.commentcamarche.net/contents/520-le-protocole-http
●
http://www.orange-business.com/fr/blogs/securite/webtech/quel-avenir-pour-leprotocole-https
Répartition des tâches :
●
Nicolas : Définition + Fonctionnement + présentation
●
Lucas : SSL + Négociation SSL + Communication SSL
●
Kevin : Sécurité et piratage du HTTPS