Sécurité : Google finalise sa mue en HSTS

Google

Google vient de franchir une étape supplémentaire dans la sécurisation de ses services. L’équipe de sécurité de la firme de Mountain View a annoncé la semaine dernière avoir finalisé la mise en œuvre de HSTS sur l’ensemble des services fonctionnant sur le domaine Google.com.

HSTS (HTTP Strict Transport Security) est un système qui renforce la sécurité des communications entre l’internaute et les serveurs web. Il permet de s’assurer que la connexion est sécurisée. Si le certificat de chiffrement n’est pas correct, la connexion au site ne sera pas possible. De plus, le mélange de contenus sécurisés et en clair au sein d’une même page web n’est pas permis par le HSTS. Un moyen pour les webmasters et les utilisateurs d’être protégés contre les attaques de l’homme du milieu (MiTM), les dégradations de HTTPS et les détournements de cookies.

Des tests longs et parfois risqués

Dans un blog, l’équipe de sécurité précise que cette implémentation n’a pas été aussi simple que cela. Et ce « en raison de la complexité particulière de Google, nous avons eu besoin d’un peu plus de temps que d’autres domaines. Par exemple, nous avons dû résoudre le problème de contenu mixte, des mauvais HREF, des redirections vers HTTP, et d’autres difficultés comme actualiser des services anciens qui pouvaient poser des problèmes aux utilisateurs tandis qu’ils essayaient d’accéder à notre domaine principal », souligne Jay Brown, directeur technique du programme. Des tests qui ont eu un impact sur l’application Santa Tracker (pour suivre le Père Noël), car elle a été inactive pendant quelques temps avec l’intégration de HSTS.

Cette mise en œuvre reste néanmoins pour l’instant un coup d’épée dans l’eau. En effet, une étude menée par Netcraft en mars 2016 montre que 95% des serveurs utilisant HTTPS n’intègrent pas HSTS ou le font avec des erreurs de configurations.