Bien qu’il soit courant de penser qu’un site web sécurisé est l’opposé d’un site non sécurisé, le choix n’est pas, en fait, binaire. Pour qu’un site web soit vraiment sécurisé, il y a environ une douzaine de canards qui doivent tous être alignés en rang.
Voir HTTPS ne signifie pas que la sécurité est bien faite, les sites web sécurisés existent dans de nombreuses nuances de gris. Comme les navigateurs web n’offrent pas une douzaine d’indicateurs visuels, de nombreux sites qui ne sont pas particulièrement sécurisés semblent, pour tous sauf les nerds les plus technophiles, être néanmoins sécurisés. Les fournisseurs de navigateurs ont simplifié les choses pour les non-techniciens.
En septembre dernier, j’ai reproché à Apple de ne pas avoir tous ses canards en rang, en écrivant que certaines de ses négligences en matière de sécurité permettaient aux sites Web d’Apple de divulguer des mots de passe.
Les informations techniques détaillées dans cet article provenaient de l’excellent test de serveur SSL de SSL Labs, une division de Qualys. Ce test analyse les sites Web sécurisés, rend compte de tous les détails techniques gores et attribue une note sous forme de lettre. Beaucoup n’obtiennent pas la note A. Beaucoup de canards ne sont pas alignés correctement sur le web.
Ici, je vais me concentrer sur le tout premier canard, le protocole HTTPS lui-même.
Auparavant, le protocole était appelé SSL, Secure Security Layer. Il y avait deux versions de SSL, numérotées 2 (sortie en 1995) et 3 (sortie en 1996). Les versions plus récentes du protocole sont appelées TLS (Transport Layer Security) et il en existe quatre versions, chaque itération étant plus sûre. La version 1.0 de TLS date de 1999 tandis que la version 1.1, la première de ce siècle, a été définie en 2006. La version la plus populaire de TLS est la 1.2 qui a été définie en 2008. La version 1.3 est actuellement à l’état de projet.
D’après ce que j’ai vu avec le test des serveurs SSL, la grande majorité des sites Web sécurisés prennent en charge les versions 1.0, 1.1 et 1.2 de TLS. Presque aucun, ne prend encore en charge les anciennes versions de SSL, ce qui est une bonne chose.
Les sites qui prennent en charge les trois versions de TLS peuvent obtenir une note A de Qualys, une décision que je trouve discutable.
Pour commencer, TLS 1.0 et 1.1 ne sont pas aussi sécurisés que TLS 1.2. De plus, TLS 1.2 est assez vieux. Qu’est-ce que cela dit d’un site Web sécurisé qui ne prend pas encore en charge un protocole de sécurité qui a été publié il y a neuf ans ? Rien de bon.
En tant que spécialiste de l’informatique défensive, je ne ferais pas confiance à un site Web qui ne prend pas en charge la version 1.2 de TLS. Heureusement, je n’ai pas à le faire.
Firefox vous permet de choisir les versions du protocole HTTPS que vous voulez qu’il prenne en charge.
Les étapes ci-dessous vous permettent de désactiver TLS 1.0 et TLS 1.1 ainsi que l’ancienne version 3 de SSL. Après avoir fait cela, Firefox n’affichera que les sites Web sécurisés qui prennent en charge TLS 1.2. Les sites Web HTTP non sécurisés ne sont pas concernés. Nous alignons, en fait, le premier canard.
Ce tweak de Firefox a été récemment testé en utilisant la version 54 sur Windows et Android, et la version 50 sur OS X. Il n’est pas pris en charge par Firefox 7.5 sur iOS 10. Il n’est pas non plus nouveau, il a été introduit pour la première fois en avril 2013.
TWEAKING
1. Entrez about:config dans la barre d’adresse
2. Cliquez sur l’avertissement concernant l’annulation de votre garantie
3. Dans la barre de recherche, recherchez « security.tls«
4. Cela devrait finir par afficher environ 10 options de configuration. L’entrée pour « security.tls.version.min » devrait être à sa valeur par défaut de 1.
5. Double-cliquez sur « security.tls.version.min«
5. Réglez-le à 3 et cliquez sur le bouton OK.
Le résultat devrait ressembler à l’image ci-dessous (à partir de Firefox 54 sur Windows).
Tweaking Firefox to only use TLS version 1.2
Maintenant, vous allez naviguer sur le web un peu plus en sécurité.
J’ai changé cela il y a un certain temps dans ma copie de Firefox et pour la plupart, cela a été bien. C’est-à-dire que presque tous les sites Web qui supportent TLS du tout, supportent la version 1.2. Malgré tout, nous sommes plus en sécurité en évitant TLS 1.0 et 1.1.
Mise à jour : 14 juillet 2017 : Une enquête plus approfondie a montré que ce tweak est également pris en charge avec Firefox version 49 fonctionnant sur Lubuntu version 16.10.
Suivant : Vérifier et tester que Firefox est restreint à TLS 1.2
FEEDBACK
Rencontrez-moi en privé par email à mon nom complet chez Gmail ou publiquement sur twitter à @defensivecomput.