Nous avons récemment animé un atelier lors des Assises de la Sécurité autour d'un sujet très discuté, celui des données sensibles et comment les garder privées et ce, dans le contexte actuel où celles-ci se trouvent être quotidiennement la cible d’attaques frauduleuses ou d’espionnage. A cette occasion, nous avons réalisé une analyse de la configuration des sites web français les plus visités selon le cabinet Alexa [1] - sites qui figurent dans leur top 1 million. Les résultats qui en ressortent nous donnent un aperçu intéressant du comportement et du véritable niveau de sécurité adoptés au sein des entreprises lorsqu'il s'agit de protéger leurs sites Internet. Voici un résumé de ces constatations.
Les protocoles les plus sécurisés sont les moins utilisés
Parmi les sites étudiés, il est apparu que seul un très faible nombre était sécurisé par un certificat. L’analyse a par ailleurs mis en évidence que parmi ceux qui le sont, les deux protocoles les plus sécurisés - TLS 1.1 et 1.2 - sont en réalité les moins utilisés. Ceci est d'autant plus préoccupant que le protocole SSL, bien que longtemps considéré comme une pièce essentielle de sécurité, doit être configuré correctement afin de garantir un niveau de sécurité optimal, ce qui est bien loin d'être le cas comme ces données nous le révèlent. Dans cette optique, il est fortement recommandé d’activer le support des protocoles TLS 1.0, 1.1 & 1.2 et de désactiver les protocoles SSL.
La politique de sécurité HSTS et l’estampillage OCSP sont très peu activés
Cette étude fait également ressortir que l’activation de la politique de sécurité HSTS est quasiment nulle, tout comme celle de l’estampillage OCSP. Or, HSTS - protocole créé pour forcer un utilisateur à se connecter à un site web uniquement en HTTPS, permet aussi de bloquer les attaques de « l’homme du milieu » qui interceptent les communications entre deux parties. Activer HSTS, ainsi que l'estampillage OCSP qui, lui, permet une meilleure performance lors de la vérification du statut du certificat, sont des clés essentielles au renforcement de la sécurité des serveurs.
Alors comment protéger au mieux les données de vos clients ?
Améliorer la sécurité des connexions et du serveur pour garantir la protection des données de vos clients avec un chiffrement élevé est primordial.
Notre outil gratuit de contrôle de configuration vous facilite la tâche en vous permettant :
- d’identifier quels protocoles sont activés,
- de vérifier les préférences de chiffrement,
- de déterminer si HSTS est activé,
- de bénéficier de conseils en vue de corriger les vulnérabilités et erreurs de configuration.
Prenez en main la sécurité de vos connexions et de vos serveurs dès à présent. N'hésitez pas à nous contacter si vous avez besoin d'informations complémentaires ou de conseils pour améliorer votre configuration SSL. Nous sommes là pour vous aider !
[1] Alexa est une entreprise appartenant au groupe Amazon qui fournit des statistiques sur le trafic du Web mondial. En août 2014, cette liste comprenait entre autres 37 956 sites français.