Le HTTPS, ce n’est pas automatique !
Suite aux révélations d’Edward Snowden l’année dernière, on a vu fleurir peu à peu des sites qui proposent un accès en HTTPS. Pour les plus novices d’entre nous, le HTTPS c’est le moyen d’accéder au web de façon chiffrée. En gros, c’est grâce à ça que vous pouvez vous rendre sur Google Facebook les sites Internet sans que de (méchants) gens ne puissent intercepter ce que vous voyez.
Si, à la base, l’idée de proposer un tel accès à un site Internet est louable, j’aimerais tout de même rappeler que le HTTPS, ce n’est pas automatique !
Depuis quelques temps je tombe sur de plus en plus de liens HTTPS pour des sites avec certificats auto-signés. Parfois même il n’est pas possible d’accéder au site sans devoir valider le certificat. Stop !
Si vous prenez la capture d’écran ci-dessus, vous devriez noter quelques mots importants : « untrusted », « can’t be verified », « error », « risks ». Un champ lexical très orienté ; un champ lexical qui vous met en garde. La sécurité est quelque chose de compliqué et qui ne se fait pas qu’à moitié. Une faille, si minime soit-elle, ouvre bien souvent la porte à de plus gros problèmes.
Ici le problème est que vous ne pouvez pas savoir que le certificat qu’on vous demande d’accepter est bien celui du propriétaire du site. Si vous voyez un tel écran, vous devriez refuser le certificat à moins que vous ne puissiez vérifier qu’il s’agit bien d’un certificat valide. Il incombe donc au propriétaire du site de vous fournir les informations nécessaires pour cette vérification. Sachant que celles-ci passeront quasiment certainement par un accès non-sécurisé, une attaque de l’homme du milieu reste possible.
Le risque que je vois à long terme, c’est de conforter les gens dans le fait qu’ils peuvent accepter n’importe quel certificat parce que « de toutes manières, j’ai confiance en ce site ». Un tel comportement finira par devenir dangereux si la personne se rend sur le site de sa banque et qu’elle ne se pose pas la question de pourquoi ce message s’affiche.
Amis webmasters, il n’y a pas de solution magique :
- Soit vous passez par une autorité de certification (AC) pour signer vos certificats. Il en existe des gratuits.
- Soit vous gardez l’accès en HTTPS pour un usage personnel tout en prévenant vos visiteurs qu’ils peuvent l’utiliser… à leurs risques et périls ! Personnellement je ne le mets pas en avant sur mes sites et me réserve le HTTPS pour les zones d’authentification et d’administration.
En aucun cas vous ne devriez imposer l’accès en HTTPS si vous utilisez un certificat auto-signé. C’est simple : lorsque je tombe sur un tel site, je le ferme.
Les révélations de Snowden ont fait bouger beaucoup de choses, assurons-nous que celles-ci aillent dans le bon sens.