HyperText Transfer Protocol Secure Sommaire Définition
Transcription
HyperText Transfer Protocol Secure Sommaire Définition
Sommaire HyperText Transfer Protocol Secure ● Définition ● Fonctionnement ● Sécurité du HTTPS ● Le SSL ● La négociation SSL ● La communication SSL ● Sources et répartition des tâches ARETE Kevin / MILLET Lucas / BASILE Nicolas Définition Fonctionnement HTTPS = HTTP + SSL HTTP L'HyperText Transfer Protocol Secure, plus connu sous l'abréviation HTTPS littéralement « protocole de transfert hypertexte sécurisé » est la combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS. ● HTTPS: c'est HTTP+SSL. HTTPS est généralement utilisé pour les transactions financières en ligne : commerce électronique, banque en ligne, courtage en ligne, etc. Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques, par exemple. Depuis le début des années 2010, le HTTPS s'est également généralisé sur les réseaux sociaux. HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. Il peut permettre de valider l'identité du visiteur, si celui-ci utilise également un certificat d'authentification client. L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP est un protocole de communication client-serveur développé pour le World Wide Web. HTTP est un protocole de la couche application. Il peut fonctionner sur n'importe quelle connexion fiable, dans les faits on utilise le protocole TCP comme couche de transport. Un serveur HTTP utilise alors par défaut le port 80. La communication entre le navigateur et le serveur se fait en deux temps : ● ● Le navigateur effectue une requête HTTP Le serveur traite la requête puis envoie une réponse HTTP SSL Avec le développement d'Internet, de nombreuses sociétés commerciales commencent à proposer des achats en ligne pour les particuliers. SSL est protocole de sécurisation des échanges sur internet. TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants : ● ● ● ● ● L'authentification du serveur La confidentialité échangées des données L'intégrité des données échangées L'authentification du client avec l'utilisation d'un certificat numérique La spontanéité, la transparence Sécurité et piratage du HTTPS La sécurité des informations transmises par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité. Le principe des certificats, outre les mécanismes de chiffrement asymétrique, repose intégralement sur des chaînes de confiance gérées par des autorités de certification. Lorsque votre navigateur souhaite s’assurer que le site web que vous visitez possède bien un certificat SSL valide, il se base sur les données des autorités de certification, qui font office de tiers de confiance. le groupe de hackers allemands THC a mis au point un outil nommé THC-SSL-DOS capable de mettre à genoux un site web utilisant HTTPS, et ce depuis une vulgaire connexion ADSL. Le secret de l’outil : exploiter le fait qu’une négociation SSL demande beaucoup plus de ressources au serveur qu’au client (facteur 15:1) et s’amuser à redemander une négociation plusieurs milliers de fois à un serveur. Le SSL ● Comment ça marche SSL ? SSL consiste en 2 protocoles: - SSL Handshake protocol(La négociation): Avant de communiquer, les 2 programmes SSL négocient des clés et des protocoles de chiffrement communs. - SSL Record protocol(La communication): Une fois négociés, ils chiffrent toutes les informations échangées et effectuent divers contrôles. Partant du principe que les internautes précisent rarement le type de protocole dans les URL et se contentent de suivre des liens, un chercheur en sécurité informatique a développé une attaque afin de contourner le chiffrement de HTTPS. Le pirate se positionne entre le client et le serveur et change les liens https: en http:, ainsi le client envoie ses informations en clair via le protocole HTTP et non HTTPS. Il a réussi à récupérer plusieurs centaines d’identifiants, informations personnelles et numéros de cartes bancaires en 24 , La négociation SSL ("handshake") La communication SSL ("record") Au début de la communication le client et le serveur s'échangent: Expéditeur : Réception : - la version SSL avec laquelle ils veulent travailler - Découpe les données en paquets - Déchiffre les données, - la liste des méthodes de chiffrement (symétrique et asymétrique) et de signature que chacun connaît (avec longueurs de clés) - Compresse les données - Vérifie la signature des données, - Signe cryptographiquement les données - Décompresse les données - les méthodes de compression que chacun connaît - des nombres aléatoires - Chiffre les données - les certificats - Les envoie Client et serveur essaient d'utiliser le protocole de chiffrement le plus puissant et diminuent jusqu'à trouver un protocole commun aux deux. Une fois que cela est fait, ils peuvent commencer à échanger des données... - Réassemble les paquets de données. Sources et répartition des tâches Sources : ● http://fr.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure ● http://www.sebsauvage.net/comprendre/ssl/ ● http://fr.wikipedia.org/wiki/Secure_Sockets_Layer ● http://fr.wikipedia.org/wiki/Chiffrement ● https://fr.wikipedia.org/wiki/HTTP ● http://www.commentcamarche.net/contents/520-le-protocole-http ● http://www.orange-business.com/fr/blogs/securite/webtech/quel-avenir-pour-leprotocole-https Répartition des tâches : ● Nicolas : Définition + Fonctionnement + présentation ● Lucas : SSL + Négociation SSL + Communication SSL ● Kevin : Sécurité et piratage du HTTPS