Google: Chrome s'éloigne de l'épinglage de clé publique, et voici pourquoi

  • Oct 19, 2023

Google a rédigé la norme d'épinglage de clé publique HTTP, mais considère désormais la mesure de sécurité Web comme dangereuse.

Vidéo: Chrome revendique la majorité du marché des navigateurs de bureau

Google a annoncé son intention d'abandonner la prise en charge par Chrome de l'épinglage de clé publique HTTP (HPKP), une norme de l'IETF écrite par les ingénieurs de Google pour améliorer la sécurité Web, mais qu'elle considère désormais comme dangereuse.

HPKP, comme décrit dans IETF 7469, a été conçu pour réduire le risque qu'une autorité de certification compromise émette mal des certificats numériques pour un site, permettant à un attaquant d'effectuer une attaque de l'homme du milieu sur le Transport Layer Security (TLS) crypté Connexions.

Recherche Tech Pro

  • Guide du responsable informatique sur la menace des logiciels malveillants sans fichier
  • Politique de réponse aux incidents
  • Guide du responsable informatique sur la récupération après une cyberattaque
  • Politique d'audit et de journalisation
  • Cybersécurité en 2018: tour d’horizon des prévisions

Grâce à HPKP, n'importe quel site Web peut demander aux navigateurs de mémoriser, ou d'« épingler », quelles clés publiques appartiennent à un serveur Web spécifique pendant une période de temps définie. Après cela, le navigateur ignore toutes les autres clés publiques pendant la durée définie.

Actuellement, Chrome, Firefox et Opera sont les seuls navigateurs prenant en charge HPKP, mais l'équipe de sécurité Chrome de Google a plans annoncés pour supprimer la prise en charge de HPKP dans Chrome 67, dont la version stable est prévue vers le 29 mai 2018.

Les chercheurs en sécurité ont mis en évidence un certain nombre de problèmes avec HPKP, notamment la possibilité pour un attaquant d'installer des broches malveillantes ou pour un opérateur de site de bloquer accidentellement des visiteurs.

Conformément au standard, la première fois qu'un navigateur se connecte à un site, le serveur lui indique, à l'aide d'un en-tête HPKP, quelles clés publiques lui appartiennent. Après cela, les navigateurs n'acceptent que les certificats signés avec des clés dans l'en-tête.

Chercheur en sécurité Scott Helme a récemment souligné qu'un attaquant qui aurait compromis un serveur Web pourrait envoyer aux visiteurs d'un site leurs propres en-têtes HPKP malveillants. Même si l'opérateur du site pourrait reprendre le contrôle du site, les navigateurs ne pourraient pas s'y connecter en raison de la politique HPKP de l'attaquant.

Ce scénario c'est arrivé à Smashing Magazine lorsqu'il mettait à jour un certificat SSL expirant. Il a activé HPKP et défini la politique pour 365 jours. Après le déploiement de nouveaux certificats valides, tous les navigateurs dotés de l'ancienne politique HPKP n'ont pas pu visiter le site. De plus, la nouvelle politique HPKP n’a rien fait pour mettre à jour l’ancienne.

Ryan Sleevi, l'un des membres de Chrome qui a rédigé la norme, a depuis décrit qualifier de "terrible", admettant que cela nuit à l'écosystème plus qu'il ne l'aide.

L'avis de dépréciation de Google reconnaît l'étude de Helme d'août 2016, qui a révélé que seuls 375 sites utilisaient HPKP.

Ivan Ristic, expert en sécurité Web de Qualys l'année dernière dit Le HPKP était voué à l'échec car il exigeait trop d'efforts de la part des opérateurs du site pour le maintenir correctement et pouvait être utilisé comme une « arme puissante » contre tous les autres sites.

Au lieu d'épingler, l'équipe Chrome encourage désormais les développeurs à utiliser la transparence des certificats et le relativement nouveau en-tête Expect-CT.

"Pour se défendre contre les erreurs d'émission de certificats, les développeurs Web doivent utiliser l'en-tête Expect-CT, y compris sa fonction de reporting", notent-ils.

"Expect-CT est plus sûr que HPKP en raison de la flexibilité qu'il offre aux opérateurs de sites pour récupérer de toute erreur de configuration et en raison du support intégré offert par un certain nombre d'autorités de certification."

Chrome cessera de prendre en charge HPKP dans Chrome 67, dont la version stable est prévue fin mai 2018.

Image: Google

Couverture antérieure et connexe

Google: cette augmentation du trafic HTTPS sur Chrome montre à quel point vous êtes désormais plus en sécurité en ligne

Le push HTTPS partout de Google affiche les résultats lors du chargement des pages sur Chrome.

Guide du responsable informatique pour réduire les menaces de sécurité internes [Recherche Tech Pro]

Les menaces internes peuvent présenter des risques encore plus importants pour les données de l'entreprise que celles associées aux attaques externes.

En savoir plus sur Google Chrome

  • Meilleures extensions Google Chrome pour améliorer votre productivité, votre sécurité et vos performances
  • Google Chrome peut désormais détecter même les toutes nouvelles pages de phishing
  • Google Chrome attaqué: avez-vous utilisé une de ces extensions piratées ?