L’éditeur du site d’actualité informatique NextInpact.com a été informé que les liens régulièrement postés sur les réseaux sociaux par le compte du journal, notamment sur Twitter, redirigent les internautes vers des pages non sécurisées par HTTPS.

Par exemple, dans un tweet posté le 22/10/2021, le lien suivant a été posté :
https://www.nextinpact.com/article/48556/teams-chiffrement-e2e-disponible-en-public-preview[1].

Ce lien retourne le code HTTP 301 avec l’adresse :
http://www.nextinpact.com/lebrief/48556/teams-chiffrement-e2e-disponible-en-public-preview.

Cela signifie que le serveur demande au navigateur de l’internaute de ne pas charger le lien initial, sécurisé par HTTPS, mais de charger à la place cette autre adresse, non sécurisé par HTTPS.

Ce 2e lien retourne une nouvelle fois le code HTTP 301 avec l’adresse :
https://www.nextinpact.com/lebrief/48556/teams-chiffrement-e2e-disponible-en-public-preview

Cela signifie que le serveur demande au navigateur de l’internaute de ne pas charger la page non sécurisée communiquée précédemment, mais de charger la version sécurisée à la place.

En plus d’être peu performant, cette double redirection fait prendre un risque aux internautes car, en l’absence de chiffrement, les internautes qui cliquent sur ces liens n’ont pas la garantie que la première réponse qui leur est retournée, celle non sécurisée par HTTPS, n’a pas été altérée par un tiers. Un attaquant pourrait notamment rediriger l’internaute vers une autre page de son choix.

Ce comportement n’est pas nécessairement visible par les internautes car les redirections sont rapides et invisibles, et car beaucoup de navigateurs tentent de charger une version sécurisée des pages même lorsque l’adresse communiquée ne l’est pas.

Événements relatifs à cette alerte :

  • le 22/10/2021, un message a été posté sur leur compte GitHub dédié au recensement des problèmes liés à leur site Internet.
  • le 02/11/2021, un message de rappel a été posté, en l’absence de réponse.
  • le 02/11/2021, un développeur du site accuse réception du message.

Notes et références

  1. Le lien qui a été posté contient contenaient en réalité trois paramètres de suivi : utm_source, utm_medium et utm_campaign. Ces paramètres sont sans incidence sur l’incident constaté. Ils ont été retirés de l’explication pour plus de clarté.