HTTP est un protocole de transmission permettant d’accéder à des pages web. HTTPS, sa version sécurisée, vérifie quant à lui l’identité du site via un certificat d’authentification. Attention, ce n’est pas un protocole infaillible : aujourd’hui, 9 malwares
sur 10 transiteraient par ce canal chiffré.
Visiblement on mélange plusieurs choses, le protocole n’a rien à voir avec le fait qu’on récupère un virus ou pas.
C’est 99 fois sur 100 une action de l’utilisateur qui provoque le téléchargement, aussi peu importe qu’on soit en https ou non car c’est une demande volontaire (enfin vue comme telle :p).
3 « J'aime »
HTTPS n’est qu’un moyen d’authentification et d’échange. Ensuite on peut s’échanger ce qu’on veut, que ce soit un site web ou un malware.
Et comme le web est majoritairement passé sur HTTPS, ben c’est normal que les malwares ne transitent plus sur HTTP…
Causalité, Correlation…
4 « J'aime »
Oui et non.
L’article explique que des outils de sécurité vont surveiller le trafic HTTP pour détecter les malwares qui seraient transmis dans les échanges, mais ne vont pas surveiller le trafic HTTPS. De fait, ils ratent donc ces mêmes échanges dès lors qu’ils sont fait en version « sécurisée » et passent donc à côté des malwares.
C’est donc un problème de périmètre couvert qui est insuffisant, car si effectivement HTTPS améliore la confidentialité des interactions entre le serveur et le client, rien ne garanti dans cet échange que le serveur n’est pas malintentionné.
Surtout depuis que les certificats SSL signés sont gratuits et faciles à déployer en automatique.
Bref, rien de nouveau sous le soleil, c’est pas parce que j’ai veillé à fermer ma porte à clé avant et après son passage que l’individu que j’ai laissé rentrer chez moi n’a rien pu me voler.
" les entreprises qui ne scannent pas le trafic HTTPS" : comment scanner le contenu du trafic https si on ne peut pas déchiffrer son contenu ? A part scanner à l’arrivée (ex: l’antivirus qui scanne les pièces attachées dans les boîtes mails quand on l’ouvre sans faire attention)
En Enterprise le poste n’étant pas directement relié a internet mais via un proxy il n’y a aucun problème pour un service de surveillance à récupérer les clefs échangées entre le navigateur et le serveur et donc de voir ce qui passe.
1 « J'aime »
Combien même le trafic est analysé, le risque zéro n’existe pas et on peut tout à fait récupérer tout de même un ransom & co. Au final tu dis la même chose…
Et dire « Attention, ce n’est pas un protocole infaillible : aujourd’hui, 9 malwares sur 10 transiteraient par ce canal chiffré. » n’a aucun intérêt car oui aucun protocole n’est infaillible, et le problème réel principal c’est le comportement des utilisateurs.
La grande majorité des attaques exploitent effectivement un problème d’interface chaise/clavier.
Mais les entreprises et éditeurs de solutions de protection peuvent agir en amont pour limiter les risques que le malware en arrive jusqu’à avoir une interaction avec l’utilisateur.
Et effectivement la surveillance du trafic HTTPS est parfois encore négligée alors que la surveillance HTTP ne suffit plus, dans 90% des cas.
Pour moi l’article dit bien ça et rien d’autre.
très couramment … surtout dans le domaine financier (en fait partout où il y a des gros actifs à protéger)
tu dis tout et son contraire … « Le proxy ne fait rien de tout cela. Sauf cas où justement il aurait été configuré pour. »
Tu sais donc que sans inspection SSL le proxy ne peut pas faire grand chose ayant trait au contenu et n’est plus très utile … c’est quoi le but d’un proxy (forward - client) selon toi ?
Définition Wiki d’un proxy :
Un proxy est un composant logiciel informatique qui joue le rôle d’intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges.
Si tu veux un router (niveau 3) c’est autre chose … le proxy est au niveau applicatif.
chez nous, ils font du man in the middle et on peut le voir notamment car le certificat qu’on reçoit n’est pas le certificat d’origine, tout est surveillé excepté webmails, trafic bancaire, tout ce qui peut être illégal d’être surveillé