Avec tant de fuites de données majeures dans l'actualité ces derniers temps, vous vous demandez peut-être comment vos données sont protégées lorsque vous êtes en ligne. Lorsque vous vous rendez sur un site Web pour faire des achats et entrez votre numéro de carte de crédit, nous espérons que, dans quelques jours, un colis arrivera à votre porte. Mais à ce moment-là, avant d'appuyer sur Commander, vous demandez-vous comment fonctionne la sécurité en ligne ?
Les bases de la sécurité en ligne
Dans sa forme de base, la sécurité en ligne - la sécurité qui s'effectue entre un ordinateur et un site Web - est assurée par une série de questions et de réponses. Vous tapez une adresse Web dans un navigateur, puis le navigateur demande à ce site de vérifier son authenticité. Le site répond avec les informations appropriées, et une fois que les deux sont d'accord, le site s'ouvre dans le navigateur Web.
Parmi les questions posées et les informations échangées figurent des données sur le type de cryptage qui transmet les informations du navigateur, les informations informatiques et les informations personnelles entre le navigateur et le site Web. Ces questions et réponses s'appellent une poignée de main. Si cette poignée de main n'a pas lieu, le site Web que vous essayez de visiter est considéré comme dangereux.
HTTP contre
- Ouvert pour que tout le monde puisse le voir en cours de route.
- Plus facile à configurer et à exécuter.
- Pas de sécurité pour les mots de passe et les données soumises.
- Entièrement crypté pour masquer les informations.
- Nécessite une configuration supplémentaire du serveur.
- Protège les informations transmises, y compris les mots de passe.
Une chose que vous remarquerez peut-être lorsque vous visiterez des sites sur le Web, c'est que certains ont une adresse qui commence par http, et d'autres par https. HTTP signifie protocole de transfert hypertexte; il s'agit d'un protocole ou d'un ensemble de directives qui désignent une communication sécurisée sur Internet.
Certains sites, en particulier les sites où l'on vous demande de fournir des informations sensibles ou d'identification personnelle, peuvent afficher https en vert ou en rouge barré. HTTPS signifie Hypertext Transfer Protocol Secure, et vert signifie que le site dispose d'un certificat de sécurité vérifiable. Le rouge barré signifie que le site n'a pas de certificat de sécurité, ou que le certificat est inexact ou a expiré.
C'est là que les choses deviennent un peu déroutantes. HTTP ne signifie pas que les données transférées entre un ordinateur et un site Web sont cryptées. Cela signifie uniquement que le site Web qui communique avec le navigateur dispose d'un certificat de sécurité actif. Ce n'est que lorsqu'un S (comme dans S) est inclus que les données sont transférées en toute sécurité, et il existe une autre technologie utilisée qui rend cette désignation sécurisée possible.
SSL contre TLS
- Développé à l'origine en 1995.
- Niveau de cryptage Web antérieur.
- En retard par rapport à la croissance rapide d'Internet.
- Démarré en tant que troisième version de SSL.
- Sécurité de la couche de transport.
- Poursuite de l'amélioration du cryptage utilisé dans SSL.
- Ajout de correctifs de sécurité pour les nouveaux types d'attaques et de failles de sécurité.
SSL était le protocole de sécurité d'origine pour garantir la sécurité des sites Web et des données transmises entre les sites. Selon GlobalSign, SSL a été introduit en 1995 en tant que version 2.0. La première version (1.0) n'est jamais tombée dans le domaine public. La version 2.0 a été remplacée par la version 3.0 en un an pour corriger les vulnérabilités du protocole.
En 1999, une autre version de SSL, appelée Transport Layer Security (TLS), a été introduite pour améliorer la vitesse de la conversation et la sécurité de la poignée de main. TLS est la version actuellement utilisée, bien qu'elle soit souvent appelée SSL par souci de simplicité.
Comprendre le protocole SSL
- Masque les informations entre un ordinateur et un site Web.
- Protège les informations de connexion.
- Sécurise les achats en ligne.
- Ne protège pas contre toutes les menaces.
- Impossible de vous sécuriser sur des sites n'utilisant pas SSL.
- Impossible de masquer les sites Web que vous visitez.
Lorsque vous envisagez de partager une poignée de main avec quelqu'un, cela signifie qu'il y a une deuxième partie impliquée. La sécurité en ligne est sensiblement la même. Pour que la poignée de main qui assure la sécurité en ligne ait lieu, il doit y avoir une deuxième partie impliquée. Si HTTPS est le protocole utilisé par le navigateur Web pour garantir la sécurité, la seconde moitié de cette poignée de main est le protocole qui assure le cryptage.
Le cryptage est la technologie utilisée pour dissimuler les données transférées entre deux appareils sur un réseau. Il est accompli en transformant des caractères reconnaissables en charabia non reconnaissable qui peut être remis à son état d'origine à l'aide d'une clé de cryptage. Cela a été réalisé à l'origine grâce à une technologie appelée sécurité Secure Socket Layer (SSL).
SSL était la technologie qui transformait toutes les données se déplaçant entre un site Web et un navigateur en charabia, puis à nouveau en données. Voici comment cela fonctionne:
- Vous ouvrez un navigateur et saisissez l'adresse de votre banque.
- Le navigateur Web frappe à la porte de la banque et vous présente.
- Le portier vérifie que vous êtes bien celui que vous prétendez être et s'engage à vous laisser entrer sous certaines conditions.
- Le navigateur Web accepte ces conditions, puis vous êtes autorisé à accéder au site Web de la banque.
Le processus se répète lorsque vous entrez votre nom d'utilisateur et votre mot de passe, avec quelques étapes supplémentaires.
- Vous entrez votre nom d'utilisateur et votre mot de passe pour accéder à votre compte.
- Votre navigateur Web indique au gestionnaire de compte de la banque que vous souhaitez accéder à votre compte.
- Ils conversent et conviennent que si vous pouvez fournir les informations d'identification correctes, l'accès vous sera accordé. Cependant, ces informations d'identification doivent être présentées dans une langue spéciale.
- Le navigateur Web et le gestionnaire de compte de la banque conviennent de la langue qui sera utilisée.
- Le navigateur Web convertit votre nom d'utilisateur et votre mot de passe dans cette langue spéciale et les transmet au gestionnaire de compte de la banque.
- Le gestionnaire de compte reçoit les données, les décode et les compare à ses enregistrements.
- Si vos informations d'identification correspondent, vous avez accès à votre compte.
Le processus se déroule en quelques nanosecondes, vous ne remarquez donc pas le temps qu'il faut pour que la conversation et la poignée de main aient lieu entre le navigateur Web et le site Web.
Cryptage TLS
- Cryptage plus sécurisé.
- Masque les données entre un ordinateur et les sites Web.
- Meilleur processus de prise de contact lors de la négociation d'une communication cryptée.
- Aucun chiffrement n'est parfait.
- Ne sécurise pas automatiquement le DNS.
- Pas entièrement compatible avec les anciennes versions.
Le cryptage TLS a été introduit pour améliorer la sécurité des données. Alors que SSL était une bonne technologie, la sécurité change à un rythme rapide, ce qui a conduit à la nécessité d'une sécurité meilleure et plus à jour. TLS a été construit sur le cadre de SSL avec des améliorations des algorithmes qui régissent les communications et le processus de prise de contact.
Quelle version de TLS est la plus récente ?
Comme avec SSL, le cryptage TLS a continué à s'améliorer. La version actuelle de TLS est 1.2, mais TLSv1.3 a été rédigé, et certaines entreprises et navigateurs ont utilisé la sécurité pendant de courtes périodes. Dans la plupart des cas, ils reviennent à TLSv1.2 car la version 1.3 est encore en cours de perfectionnement.
Une fois finalisé, TLSv1.3 apportera de nombreuses améliorations en matière de sécurité, notamment une meilleure prise en charge des types de chiffrement les plus récents. Cependant, TLSv1.3 supprimera également la prise en charge des anciennes versions des protocoles SSL et d'autres technologies de sécurité qui ne sont plus suffisamment robustes pour garantir la sécurité et le cryptage appropriés des données personnelles.