En me baladant sur le net à vouloir en apprendre plus sur le certificat SSL, je suis tombé sur deux sites : https://securityheaders.com/ & https://snyk.io/test/. Ces deux sites permettent de connaître l’état de sécurité de votre site à la manière d’un test effectué sur gtmetrix.com ou sur Google Page Speed pour savoir si votre site est Google Friendly et rapide à charger. A ma grande surprise, moi qui pensais avoir B pour me consoler un minimum dans ma fierté de Webdesigner, j’obtenu un grand :
Pas la peine de vous exprimer ma réaction, je pense que vous l’aurez compris aussi.
Je me suis donc intéressé de plus prêt au problème que pouvait présenter les failles de sécurité de mon site. Dans mes recherches je m’aperçu qu’il y avait un protocole qui n’apparaissait pas sur mon certificat. C’était le HSTS (HTTP-Strict-Transport-Security)
HTTP Strict Transport Security (HSTS)
Si je prends la définition de ssl.com,il s’agit d’un mécanisme de politique de sécurité Web qui vise à renforcer la protection des sites en HTTPS contre toutes formes d’attaques de rétrogradation et de détournement de cookies. Si un serveur Web est configuré pour utiliser HSTS, il indiquera aux navigateurs Web d’utiliser que des connexions HTTPS et d’interdire l’utilisation du protocole HTTP.
C’est le cas pour Mozilla Firefox qui est l’un des navigateurs les plus sécurisé du marché avec lequel il est souvent compliqué d’ouvrir un site internet s’il ne possède pas de certificat SSL. (HTTPS)
Une chose à noté est que ce protocole peut également s’appliquer à tout les sous-domaines de votre site.
Pourquoi installer un certificat HSTS sur mon site internet si la navigation sur mon site est déjà protégé par un certificat SSL (HTTPS) ?
Pour que vous puissiez mieux comprendre l’utilité de la politique de sécurité HSTS, prenons l’exemple de cette maison
Dans cette maison, on peut y trouver plusieurs types de bien qui sont susceptibles d’être volé… (télévision, Ordinateur, console de jeu etc.). Maintenant, je vous pose la question suivante :
partir de votre maison en ayant simplement fermé la porte à double tour est il suffisant pour qu’un cambrioleur ne vous vole pas ? Je ne pense pas.
C’est pareil pour votre site. Ajouter un certificat SSL, Captcha de sécurité ou des plugins de sécurités comme WP Cerber n’empêche en rien un hacker d’intercepter vos cookies, de forcer la redirection de votre site vers un faux site miroir.
L’ajout du certificat HSTS va apporter une protection supplémentaire à votre site et imposer une difficulté en plus sur votre site.
Incrustation du mécanisme Sécurité de transport stricte HTTP : HSTS
Maintenant que l’on sait ce qu’est le format HSTS, on va procéder à la configuration de ce protocole sur notre site.
Il vous faudra installer le plugin HTTP Header développer par Dimitar Ivanov pour ajouter le protocole HSTS à votre site.
Après l’avoir installé, il vous faudra aller sur l’onglet Réglages>HTTP Headers>Sécurité puis rechercher la ligne suivante : Strict-Transport-Security
Bien évidemment, cocher la case On, la case IncludeSudDomaines et sélectionner au minimum 2 Years sur max-age.
En langage français cela donne :
« Je souhaite activité la politique du Strict Transport Security (HSTS), inclure les sous-domaines et activé le HSTS pour au minimum 30 jours (sélectionner plus si vous le souhaitez. Moi je vous conseille 2 ans minimum). »
Voilà donc : le résultat après avoir activer HSTS sur notre site :
On passe d’un terrible F à un bon D. Maintenant, grâce au protocole HSTS, votre site est protéger contre les détournements de cookies que les hackers souhaiteraient mettre en place sur votre site WordPress.
Ne nous réjouissons pas trop vite. Il y a encore du chemin à parcourir avant que la note approche le A.
Je vais vous montrer par la suite ce qu’est le X-Frame Options et comment le mettre en place également. (prochainement)