QUIC : le protocole de Google rend-il le web moins sûr ?



QUIC : le protocole de Google rend-il le web moins sûr ?

Des chercheurs mettent en doute la sécurité du protocole QUIC, que Google pose comme candidat à la succession de HTTPS.

Entre HTTPS et QUIC, perd-on au change en matière de sécurité ? Oui… sur certains aspects, affirment des chercheurs chinois.

Le premier de ces protocoles est désormais bien implanté. La majorité des sites web l’ont adopté (environ 70 % selon W3Techs, 80 % selon Let’s Encrypt…). Le second commence à peine à s’installer (5 %). Il faut dire qu’il est plus jeune. Son développement avait débuté en 2012 sous l’impulsion de Google. Le groupe américain en pousse actuellement la standardisation auprès de l’IETF. Il a franchi un cap l’an dernier en l’activant par défaut – à la place de HTTPS – dans son navigateur Chrome.

Comme HTTPS, QUIC implémente le protocole TLS pour sécuriser les échanges. En revanche, il ne s’appuie pas sur TCP, mais sur UDP. Objectif : réduire les délais de négociation client-serveur.

Multiplexage optimisé, meilleur contrôle du flux… Les chercheurs ne remettent pas en cause les performances supérieures de QUIC. Ils déplorent, en revanche, sa plus grande fragilité face au fingerprinting. C’est-à-dire la possibilité, pour des tiers, de déterminer les sites web visités en interceptant le trafic chiffré.

QUIC : une fragilité précoce :

Ce n’est pas la première étude à traiter du sujet. Mais elle a, assurent ses auteurs, la particularité d’une approche en deux phases. Et cela change tout ou presque au niveau des résultats.

La phase qualifiée de « normale » comprend toutes les étapes de rendu d’une page web. Celle qualifiée d’« initiale » (early) n’en comprend qu’une partie. En l’occurrence, l’obtention du fichier HTML sur le serveur et l’analyse des balises CSS et JavaScript. Elle n’inclut pas les étapes ultérieures, à savoir l’obtention des fichiers CSS et JavaScript, leur analyse, leur combinaison avec le fichier HTML, puis l’analyse des balises multimédias et la récupération des contenus correspondants.

Principale conclusion : si les deux protocoles présentent un niveau de vulnérabilité similaire sur la phase « normale », QUIC se révèle plus exposé que HTTPS sur la phase « initiale ».

Les chercheurs reconnaissent les limites de leur méthodologie. Ils ont, en particulier, « assaini » le trafic qui leur a servi de base d’étude. Entre autres par le recours à un environnement fermé (LAN), à l’ouverture d’une page à la fois et à des adaptations de type désactivation du cache sur Chrome.


Pour plus d’information : https://www.silicon.fr/quic-protocole-google-web-moins-sur-360448.html#

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité