En-tête HTTP

Vos en-têtes HTTP indiquent aux navigateurs internet le comportement à adopter en fonction d'une situation donnée. Sans ces indications certaines situations peuvent introduire des failles de sécurités pour vous et/ou vos utilisateurs.


Strict-Transport-Security (HSTS)


Afin de garantir l'intégrité et la confidentialité des échanges entre vos utilisateurs et vos sites web, et d'éviter une attaque de type "Man-In-The-Middle" : il est nécessaire de mettre en place un flux chiffré en HTTPS par lequel passeront toutes ces requêtes. (voir : Protocole SSL/HTTPS)

Une fois fois en place, la bonne pratique consiste donc à rediriger systématiquement l’utilisateur en HTTP vers le HTTPS (voir : Protocole SSL/HTTPS).
Néanmoins cette bonne pratique sous-entend que la première requête exécutée par le navigateur, la redirection du HTTP vers le HTTPS, est en HTTP. Cette requête pourrait être utilisée par un cyber-criminel pour mener à bien son attaque de type Man-In-The-Middle.
L’en-tête HTTP Strict-Transport-Security (HSTS) indique au navigateur qu’il doit se rappeler d’aller sur le site directement en HTTPS lors des prochaines visites et donc éviter de formuler cette première requête en HTTP. Il se présente de la forme suivante :


Strict-Transport-Security: max-age=<TEMPS>; <includeSubDomains;> <preload;>

max-age indique le temps de conservation de l’information, il doit être positionné assez longtemps entre deux visites sur le site (par exemple 1 ans (31536000) ou 2 ans (63072000)), la valeur peut être augmenté progressivemen en vérifiant si des problèmes surviennent
includeSubDomains indique si les sous-domaines (du domaine actuel) doivent aussi être inclus
preload indique que le navigateur peut partager cette information sur une base de données commune du navogateur (il ne fait pas partie de la spécification).



La meilleure défense

Dattak SAS - 907 857 817 21 RUE DU GÉNÉRAL FOY, 75008 PARIS Courtier d’Assurance Immatriculé à l’ORIAS N°22002872 Capital social de 25 381,50€

Dattak est une agence de souscription spécialisée sur le risque cyber et les cyberattaques contre les entreprises. Nous mettons à disposition des entreprises une solution d'assurance complète avec les meilleures garanties du marché. Ainsi que différents outils de cybersécurité : Tests de phishing, scan de la surface d'attaque externe, solution d'audit interne, réseau d'experts cyber. Vous souhaitez devenir courtier en assurance partenaire ? Vous voulez coouvrir votre activité contre le risque de cyberattaque ? Contactez-nous !