Aller au contenu
Avanet
Le trafic chiffré augmente : activez l’analyse HTTPS

Le trafic chiffré augmente : activez l’analyse HTTPS

26. FÉVRIER 2018

Dans cet article, je souhaite à nouveau faire le point sur la situation actuelle de « HTTP et HTTPS ». Dans un précédent article, “HTTPS scanning : pourquoi il devrait être activé sur Sophos”, nous avions déjà montré que de plus en plus de sites web utilisent HTTPS. Alors qu’il fallait autrefois acheter un certificat coûteux, il est désormais possible d’en obtenir un gratuitement grâce à Let’s Encrypt et à quelques autres fournisseurs.

HTTP est voué à disparaître

Comme nous l’avions décrit dans notre précédent billet de blog, HTTPS s’est fortement répandu ces dernières années. Google et Let’s Encrypt y sont particulièrement mis en avant, mais entre-temps, par exemple, Apple oblige aussi ses développeurs iOS à transmettre les requêtes serveur via des connexions HTTPS. Ainsi, même les connexions que nous, en tant qu’utilisateurs, ne voyons généralement pas, sont pour la plupart chiffrées.

L’élément déclencheur qui m’a poussé à revenir sur ce sujet est un billet récent du Google Security Blog. Google y indique qu’en février 2018, 81 des 100 sites les plus visités utilisaient déjà HTTPS par défaut.

Google contribue à bannir HTTP

Début 2017, Google avait déjà annoncé son intention de signaler les sites HTTP comme non sécurisés. Avec la version 68 de Chrome, prévue pour juillet 2018, Google passe désormais à l’action. Tout utilisateur qui surfera alors sur Internet avec la dernière version de Chrome sera averti lorsqu’il visitera une page HTTP non sécurisée. L’avertissement se présente comme suit :

Google Chrome 68 : avertissement de sécurité pour HTTP
Source de l’image : security.googleblog.com

Il va de soi qu’aucun propriétaire de site ne souhaite que sa page soit classée comme « non sécurisée » dans le navigateur le plus utilisé au monde (sur ordinateur et mobile). Avec ce petit changement, Google va sans doute accélérer encore davantage le recul des connexions HTTP non sécurisées.

Activer l’analyse HTTPS

Bien entendu, une telle évolution a également un impact sur la sécurité de votre réseau. Plus de 50 % du trafic web qui passe par notre firewall, mais aussi par ceux de nos clients, est déjà chiffré. Il devient donc de plus en plus important d’analyser également le trafic HTTPS, faute de quoi ce trafic atteindrait le réseau sans aucun contrôle.

Si vous disposez d’une licence valide pour Web Protection, nous vous recommandons vivement d’activer l’analyse HTTPS. Si vous avez besoin d’aide pour la mise en œuvre, n’hésitez pas à nous contacter.

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.