Des étudiants de l’ESIEA inventent « CheckMyHTTPS » : un logiciel qui vérifie que vos connexions WEB sécurisées ne sont pas interceptées
avril 2016 par Marc Jacob
L’ESIEA, école d’ingénieurs du monde numérique, met à la disposition du public un logiciel qui vérifie la sécurité des connexions chiffrées. Téléchargeable gratuitement, il fait déjà le buzz chez les experts car il alerte sur un sujet sensible.
Https : ces quelques caractères familiers accompagnés d’un cadenas certifient qu’un site est sécurisé et qu’on peut y effectuer des transactions en toute confiance, sans risque d’interception malveillante. Pour rappel, 700 millions de transactions ont été effectuées en ligne en 2015 (Source Fevad iCE). Or, les techniques d’interception des flux web chiffrés de type HTTPS sont aujourd’hui, et selon les experts en sécurité, matures, disponibles et de plus en plus simples à exploiter.
Dans le cadre de leurs études, des étudiants en 4ème année à l’ESIEA ont analysé toutes ces techniques d’interception et d’écoute afin d’élaborer CheckMyHTTPS une extension conçue pour le navigateur WEB Firefox et qui permet de détecter rapidement l’intégrité du flux sécurisé.
Un test en ligne pour plus de contrôle par l’utilisateur
Gratuite et téléchargeable sur le site « checkmyhttps.net », l’extension est installée automatiquement par le navigateur. Quand une interception est détectée, un cadenas de couleur rouge est visible dans la barre de navigation (il reste vert si la connexion est sûre). Développé au sein du laboratoire CNS-CVO du campus de Laval de l’ESIEA, le projet CheckMyHTTPS répond à un double objectif : améliorer le niveau de sécurité des utilisateurs d’internet au sein des entreprises comme à leur domicile, mais aussi leur redonner des possibilités de contrôle en matière de lutte contre la perte d’information et de respect de leur vie privée.
Les connexions https sont interceptées
« Pour le grand public, le protocole https est synonyme de sécurité absolue, or aujourd’hui, une grande majorité de produits de sécurité déployés dans les entreprises (pare-feu, système de prévention d’intrusion, etc.) interceptent les connexions des utilisateurs, qu’elles soient chiffrées ou non. Tous les flux sécurisés sortants de l’entreprise peuvent être ainsi déchiffrés et stockés... en clair. Si l’entreprise se fait pirater, les données personnelles de leurs employés, paiements en ligne, etc., deviennent accessibles et peuvent se retrouver sur internet » explique Richard Rey, ingénieur de recherche et initiateur du projet.
« Dans le même ordre d’idée, de nombreux antivirus classiques, installés sur les postes de travail, interceptent et déchiffrent les connexions sécurisées. Les éditeurs de ces antivirus avancent vouloir protéger l’utilisateur des contenus malveillants présents sur internet. Mais cela permet aussi à leurs logiciels d’être capables de lire les connexions chiffrées, avec des conséquences en termes de responsabilité et d’assurance qui sont loin d’être claires. » poursuit-il.
Un produit validé par la communauté hacker
Acteur majeur de la sécurité informatique, l’ESIEA, grâce à son Laboratoire CVO de l’axe de Recherche CNS (pour Confiance Numérique et Sécurité) permet aussi à ses étudiants de développer et de tester un produit selon un parcours idéal qui va, en l’occurrence, de la validation par la communauté hacker (CheckMyHTTPS a été présenté et accepté au « Chaos Communication Congress » à Berlin, en décembre 2015) aux tests d’exploitabilité grâce aux retours d’utilisateurs en lien avec le Laboratoire, jusqu’à sa présentation technique et sa mise à disposition publique finale.
« Peu d’écoles permettent aux étudiants de vivre ce genre d’expérience : l’idée de ce logiciel est née d’une discussion informelle à l’ESIEA avec des étudiants désireux de s’investir dans les thématiques du laboratoire. L’expertise de celui-ci permet de développer ce type de produit et surtout de le tester selon un parcours balisé, indispensable aux conditions de réussite. CheckMyHTTPS vient d’être validé par la Mozilla Foundation, ce qui, en résumé, signifie que le produit va « dans le bon sens » précise Richard Rey. « Aujourd’hui CheckMyHTTPS est disponible pour le navigateur Firefox. Un portage sur les navigateurs "Google Chrome" et "Microsoft Edge" est en cours d’étude. Il apparait dès à présent que des restrictions techniques imposées par les éditeurs de ces deux navigateurs rendent ce portage plus compliqué que ce que nous imaginions... » ajoute-t-il.