Technologie : Un lecteur de ZDNet s’interroge sur la sûreté du protocole HTTPS dans un navigateur web. Ai-je besoin d’un VPN si je dispose de HTTPS? Examinons cela.
J’ai récemment reçu une lettre d’un lecteur qui se demande si « le chiffrement fourni par mon navigateur sur les données que j’échange avec un site HTTPS est suffisant pour protéger les données. D’après ce que j’ai compris, c’est le cas. Si c’est le cas, un VPN n’est pas nécessaire à cette fin. De plus, si c’est le cas, je peux parfaitement échanger des données privées (par exemple, des informations de compte avec ma banque ou mon courtier en Bourse) sur n’importe quel réseau public ouvert. Bien sûr, les VPN proposent plusieurs autres fonctions utiles, mais d’après ce que j’ai compris, ils ne fournissent PAS de sécurité supplémentaire pour les données échangées. Evidemment, ce n’est pas une chose que les éditeurs de VPN soulignent ».
Il y a beaucoup de choses à décortiquer dans la lettre de notre lecteur. Examinons chaque question/affirmation une par une.
Parfaitement sûr?
Indépendamment des questions techniques, notre lecteur fait une affirmation qui, à mon avis, mérite une correction immédiate. Notre lecteur affirme qu’il « est parfaitement sûr pour moi d’échanger des données privées (disons, des informations de compte avec ma banque ou mon courtier en Bourse) sur n’importe quel réseau public et ouvert [en utilisant HTTPS] ».
Mettons les choses au clair: il n’est jamais, jamais, en aucune façon, jamais « parfaitement sûr » d’échanger des données sur internet, que ce soit via un réseau public et ouvert ou même depuis votre domicile ou votre bureau.
Il existe des brèches et des failles de sécurité dans nos réseaux qui se produisent avec une régularité constante, sans fin et assez écrasante. Je ne vais pas m’étendre sur toutes les brèches ni même sur toutes les façons dont le trafic de messages peut être intercepté en cours de route. Il suffit de dire que nos données ne sont jamais « parfaitement sûres » et que nous devons donc toujours prendre des mesures pour nous protéger, protéger nos données et, par extension, notre sécurité financière et physique.
Ce n’est pas parce que vous n’êtes pas paranoïaque qu’ils ne sont pas là pour vous attraper. En raison de cette réalité, nous adoptons souvent une approche de « surprotection » pour toutes nos pratiques de sécurité. Cela signifie que, même si on dispose d’un certain niveau de sécurité, ce n’est jamais suffisant. Il se peut que cette méthode de sécurité soit fissurée ou présente une faille, ou qu’il y ait une autre raison pour laquelle elle présente des fuites. Il est toujours préférable d’avoir plusieurs approches pour rester en sécurité.
Le protocole HTTPS est-il suffisant?
Commençons par ce que fait le protocole HTTPS. Il sécurise (par le biais du chiffrement) une connexion HTTP entre un site web et votre navigateur. Cela signifie que le contenu de ce que vous transmettez a peu de chance d’être lu ou modifié entre votre navigateur et le site web.
Mais vous n’avez pas le contrôle de cette connexion. C’est à l’opérateur du site web (et à tout service associé auquel il fait appel) de s’assurer qu’il configure et exploite correctement la connexion sécurisée.
Tous les sites web n’utilisent pas le protocole HTTPS, de sorte que tout ce que vous faites sur une connexion non chiffrée est visible. Ce qui est en fait beaucoup plus préoccupant avec le trafic non chiffré, c’est qu’un attaquant (généralement l’attaque peut modifier ce qui est envoyé, en injectant du code – ou pire, des logiciels malveillants – dans le flux.
Les attaques les plus visibles sont les attaques de type Great Cannon, qui injectent des charges utiles JavaScript et HTML dans le trafic web non protégé. Ces charges utiles mènent ensuite des attaques par déni de service (d’où le terme « canon ») contre des cibles présentant un intérêt pour les pirates. Personne ne souhaite que son navigateur web se transforme involontairement en une arme de déni de service.
Une autre chose à prendre en compte concernant le protocole HTTPS est qu’il ne chiffre que votre trafic web. Toute autre activité internet n’est pas concernée par le protocole HTTPS et nécessite donc son propre chiffrement. Parmi les exemples d’autres activités, citons les jeux vidéo en ligne qui peuvent envoyer en clair votre compte, votre mot de passe et même vos informations de carte de crédit, un programme de courrier électronique ou même un programme de comptabilité exécuté localement.
Donc, oui, le protocole HTTPS est utile. Mais il ne s’agit que d’un accessoire de sécurité dans un ensemble de sécurité.
Chiffrement des routeurs sans fil
Il existe un autre élément de chiffrement qui intervient parfois dans la chaîne. Il s’agit du chiffrement Wi-Fi que vous obtenez lorsque vous utilisez un routeur Wi-Fi avec un mot de passe.
Bien sûr, il y a là un autre point de risque: vous n’avez aucun moyen de savoir si le routeur Wi-Fi a été usurpé et si vous envoyez réellement toutes vos données via un Wi-Fi pineapple ou un autre dispositif d’usurpation de données.
Chiffrement VPN
Cette déclaration de notre lecteur est un peu difficile à décortiquer: « les VPN fournissent plusieurs autres fonctions précieuses, mais d’après ce que je comprends, ils ne fournissent PAS de sécurité supplémentaire aux données réellement échangées ».
Je pense que ce que notre lecteur veut dire, c’est que les VPN fournissent d’autres services, mais qu’ils ne fournissent aucun autre service de sécurité des données. Mais les VPN le font. Ils chiffrent également les données. Les VPN fournissent absolument des services de sécurité des données. Les paquets sont chiffrés du navigateur local au fournisseur de services VPN. Tous les paquets.
Maintenant, il est important de comprendre où ce chiffrement est utile et où il ne l’est pas. Si vous êtes sur votre navigateur web dans un café et que vous parlez à l’interface web de votre banque, votre trafic est chiffré dans votre navigateur, passe de votre appareil à un routeur local, au fournisseur d’accès local, à travers tout un tas de sauts, puis à votre banque, où il est déchiffré.
Le protocole HTTPS chiffre l’ensemble du tuyau, mais seulement si tout est correctement configuré. Maintenant, si vous utilisez un VPN (avec HTTPS ou non), vos données sont chiffrées sur votre ordinateur. Si vous utilisez HTTPS, les données chiffrées par HTTPS sont à nouveau chiffrées par le VPN. Ces données voyagent ensuite par les sauts habituels jusqu’à un serveur VPN, sont déchiffrées une fois (la couche du VPN est supprimée), puis envoyées à votre banque.
L’avantage du chiffrement VPN se situe entre votre appareil et le fournisseur VPN sur l’internet. Cela protège presque tous les rôdeurs des cafés, aéroports et hôtels qui pourraient essayer de s’emparer de vos données en mouvement.
Réfléchir à la sécurité
Lorsqu’il s’agit de réfléchir à la sécurité mobile, il est important de garder à l’esprit les points d’extrémité et ce qui est chiffré. Examinons les trois derniers points abordés:
HTTPS: chiffre le trafic web entre le navigateur web et le serveur web;
Wi-Fi: chiffre tout le trafic réseau entre l’appareil mobile et le routeur Wi-Fi de votre café local, hôtel, aéroport, etc.;
VPN: chiffre tout le trafic réseau entre votre appareil mobile et le fournisseur de services VPN sur internet.
Pouvez-vous voir comment ces différents éléments chiffrent et déchiffrent à différents points? Gardez également à l’esprit que n’importe lequel (ou plusieurs) de ces services de sécurité peut être compromis. De plus, il existe bien sûr d’autres niveaux de chiffrement, comme les tunnels SSL et TLS chiffrés entre les sites web et les fournisseurs de services de paiement.
En utilisant plusieurs niveaux de chiffrement, chacun d’entre eux ne pouvant pas voir dans l’autre, vous réduisez le risque qu’un réseau compromis vous compromette.
Autres services VPN
Comme nous l’avons abordé dans nos différentes revues et guides VPN, les différents services VPN commerciaux offrent différentes valeurs ajoutées. Certains incluent un antivirus. D’autres intègrent des services de protection de l’identité. Mais tous les VPN fournissent un autre service de sécurité très important: l’offuscation d’adresseIP.
Si vous utilisez un VPN, vous obtenez une adresse IP du fournisseur de VPN. Il s’agit de l’adresse IP enregistrée par les différents services sur le web. Cela vous permet de protéger votre identité en ce qui concerne l’endroit où vous vous trouvez, le fournisseur d’accès que vous utilisez, ou même le pays dans lequel vous vous trouvez.
Pour certains d’entre nous, il s’agit d’un service moins critique. Pour d’autres, notamment ceux qui sont confrontés au harcèlement ou à d’autres problèmes de protection personnelle, les services de protection de l’emplacement du VPN sont essentiels.
En résumé
Ainsi, pour répondre à la question, « ai-je besoin d’un VPN? « , c’est à chacun de trancher. Mais à la question de savoir si le HTTPS est la panacée en matière de sécurité internet, ma réponse est la suivante: pas du tout.
Source zdnet