HSTS (HTTP Strict Transport Security)

Qu'est-ce que le TVHS?

HSTS (HTTP Strict Transport Security) est un mécanisme de sécurité Web qui indique aux navigateurs d'interagir uniquement avec un site Web via HTTPS, jamais HTTP. Une fois qu'un navigateur voit un en-tête HSTS, il mettra automatiquement à niveau toutes les requêtes futures vers HTTPS et refusera de se connecter via HTTP, même si l'utilisateur tape explicitement http://.

Pourquoi la TVH est importante

Même avec un certificat SSL valide, des vulnérabilités existent :

Attaque SSL de stripping

1. Types d'utilisateurs "example.com" (sans https://)

2. L'attaquant intercepte la requête HTTP initiale

3. Proxies de l'attaquant vers HTTPS, présente HTTP à l'utilisateur

4. L'utilisateur pense qu'ils sont sécurisés, mais l'attaquant voit tout

HSTS empêche cela en s'assurant que les navigateurs ne font jamais cette requête HTTP initiale.

Avantages de la TVH

• Prévient les attaques de dégradation: Pas de retour HTTP possible
• Protection des signets utilisateur: Même les anciens signets HTTP deviennent HTTPS
• Élimine le contenu mélangé: Les sous-ressources sont également forcées à HTTPS
• Améliore la performance: Pas de redirection HTTP→HTTPS nécessaire

TVHS En-tête Syntaxe

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Directives

Mise en œuvre de la TVH

Nginx

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Apache

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nuageux

Activer dans SSL/TLS → Certificats d'Edge → Sécurité de transport stricte HTTP

"Express.js

const helmet = require('helmet');
app.use(helmet.hsts({
  maxAge: 31536000,
  includeSubDomains: true,
  preload: true
}));

Liste de précharge de la TVH

La liste de précharge HSTS est une liste de domaines codés en dur dans les navigateurs qui ne devraient jamais être accessibles par HTTPS. Cela élimine même la première vulnérabilité de la requête HTTP.

Exigences de précharge

1. Certificat SSL valide

2. Rediriger tout HTTP vers HTTPS

3. En-tête TVHS avec:

• âge maximal au moins 31536000 (1 an)
• inclure la directive SubDomains
• directive précharge

Présentation à la liste de précharge

1. Vérifier les exigences: Utiliser hstspreload.org pour vérifier

2. Soumettre le domaine : Entrez le domaine à hstspreload.org

3. Atteinte à l'inclusion: Prend des semaines à des mois pour les mises à jour du navigateur

Avertissements de précharge

Vérification de la TVH

1. Ouvrir DevTools → onglet réseau

2. Chargez le site

3. Vérifiez les en-têtes de réponse pour la sécurité strict-transport

curl -I https://example.com | grep -i strict

curl "https://domscan.net/v1/health?domain=example.com"
# Reports hasHSTS in security details

Vérifiez hstspreload.org pour voir si un domaine est préchargé.

Stratégie de déploiement du SST

Phase 1: Âge maximal court

Commencez par un court âge max pour tester:

Strict-Transport-Security: max-age=300

Phase 2 : Augmentation de la durée

Après confirmation HTTPS fonctionne partout :

Strict-Transport-Security: max-age=86400

Phase 3: Ajouter des sous-domaines

Une fois tous les sous-domaines pris en charge HTTPS :

Strict-Transport-Security: max-age=2592000; includeSubDomains

Phase 4: Déploiement complet + Précharge

Après des mois de fonctionnement stable:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Enjeux communs en matière de TVH

HSTS est essentiel pour tout site Web traitant des données sensibles et fortement recommandé pour tous les sites HTTPS.