Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
Lorsqu'une page Web sécurisée (dont le contenu circule sur le Web de manière chiffrée, en utilisant le protocole httpS) contient des données non chiffrées (non cryptées, en n'utilisant que le protocole http), ce type de diffusion est appelé " contenu mixte ".
Si, et uniquement SI, vous êtes en confiance avec le site visité affichant des contenus mixtes, autorisez l'affichage des contenus bloqués et le suivi des liens http simple en cliquant sur le bouclier qui apparaît à gauche de la barre d'adresse et en désactivant le blocage sécuritaire. Baissez la garde, mais restez vigilant (le contenu non sécurisé peut, par exemple, être celui de publicités trompeuses ou mensongères ou d'escroqueries ou de contaminations ou des liens dangereux insérés par un contributeur dans une discussion, etc. ...).
De quoi s'agit-il ?
Il s'agit d'un dispositif de sécurité de Firefox, introduit depuis la version 23.0 du 16 mai 2013, lorsque le protocole HTTPS (Web sécurisé) est employé sur une page, mais que :
On peut en faire l'expérience avec le site d'Assiste.com :
Le site Assiste.com est juste un site de contenu, sans aucune donnée, sensible ou non, concernant ses visiteurs. Il n'a donc aucune raison d'utiliser un protocole Web sécurisé (HTTPS). Le site Assiste.com fonctionne uniquement avec le protocole Web simple, non sécurisé, HTTP.
Si vous regardez en bas des pages, il y a une zone de discussion. Cette zone est, techniquement parlant, un cadre (une fenêtre, appelée iFrame) s'ouvrant :
Ce contenu est celui d'un autre site, sur un autre serveur.
Faites l'expérience suivante :
Cela fonctionne. Vous aurez une alerte normale vous signalant qu'Assiste.com n'a pas de certificat. Acceptez tout de même.
Regardez, en bas de la page, la zone devant contenir la discussion. Elle est vierge. Le forum ne s'affiche pas.
Regardez aussi, en haut, à gauche de la barre d'adresse. Vous observez la présence d'un bouclier.
Cliquez sur le bouclier.
Si vous êtes en confiance avec le site visité, vous pouvez l'autoriser à afficher des contenus non sécurisés dans ses pages sécurisées. Les contenus s'afficheront et les liens dans ces zones seront suivis.
Vous pouvez souvent utiliser le protocole HTTPS pour accéder à un site qui n'utilise, normalement, qu'HTTP. Il suffit que son serveur soit paramétré pour supporter HTTPS. Par exemple, le serveur d'Assiste.com permet d'accéder au site avec les protocoles HTTP ou HTTPS.
Ne faites pas confiance à la seule présence du protocole HTTPS, car cela ne signifie absolument pas que le site est bien celui qu'il prétend être. Ce peut être une contrefaçon, une usurpation. Vérifiez si le site a un certificat valide.
Si le site n'a pas de certificat d'authentification, il n'y a pas de réelle sécurisation. La certification permet d'avoir une certitude relativement forte que celui qui prétend être le propriétaire du site est bien celui qu'il prétend être. La certitude n'est pas à 100% et certains sites peuvent sembler être ce qu'ils ne sont pas puisqu'il y a :
Pour un site comme Assiste.com, le protocole HTTPS n'apporte rien, mais surcharge le serveur et votre ordinateur par les fonctions de chiffrement / déchiffrement.
Pour un site de P2P border line (typiquement, un tracker collectionnant des liens bittorrent de ressources piratées (musiques, films, etc. ...), le protocole HTTPS est nécessaire pour empêcher des attaques de type " Homme du milieu " (Man in the Middle) durant la navigation sur le tracker pour rechercher une ressource piratée (clairement, en France, pour empêcher la cheville ouvrière de l'application de la Loi Hadopi, la société TMG - Trident Media Guard, de vous tracker durant les échanges entre le tracker et votre ordinateur), mais il tombe sous le sens que le propriétaire d'un tracker Torrent ne demandera jamais un certificat d'authentification, attestant qui il est, alors qu'au contraire, il s'agit d'une personne qui se cache. Donc, un tracker P2P a intérêt à fonctionner en HTTPS pour protéger ses visiteurs, mais sans certificat pour ne pas être recherché (ou avec un certificat intraçable).
Lorsque le site utilise des contenus mixtes, HTTPS et HTTP, la partie en HTTP circule en clair sur le Web et expose le visiteur du site à des attaques " Homme du milieu " (Man in the Middle).
Lorsqu'une page Web sécurisée (dont le contenu circule sur le Web de manière chiffrée, en utilisant le protocole httpS) contient des données non chiffrées (non cryptées, en n'utilisant que le protocole http), ce type de diffusion est appelé " contenu mixte ".
Si les transmissions sont sécurisées, avec ou sans certificat d'authentification en ce qui concerne le site principal, il n'existe aucune sécurisation des transmissions et aucune authentification de l'acteur derrière un site sans httpS et sans certificat.
HTTPS n'est, parfois, que de la poudre aux yeux, de l'esbroufe. C'est une page vide, en https, servant de cadre d'accueil (technique des iFrame) à du contenu exclusivement en http provenant d'un site sans aucune authentification. Heureusement que le blocage de ce contenu, dans Firefox, fait bien apparaître le risque.
C'est aussi la raison pour laquelle le protocole (http ou https) n'est plus affiché, dans la barre d'adresse, mais uniquement des symboles qualifiant l'ensemble du flux.
Lorsque vous naviguez sur une page Web via HTTP, votre connexion est ouverte aux écoutes et aux attaques dites " Homme du milieu " (Man in the Middle). La plupart des sites de simple contenu utilisent le protocole normal, non sécurisé, HTTP, car, comme c'est le cas pour Assiste.com, aucune donnée sensible, concernant ses visiteurs, ne circule.
Lorsque vous naviguez sur un site dont certaines données qui circulent sont sensibles (privées), comme des données bancaires, le site DOIT utiliser un protocole sécurisé, HTTPS, afin que les circulations de données soient chiffrées, et, accessoirement, obtenir un Certificat électronique d'authentification, en tant que titulaire (propriétaire et opérateur authentifié) du site, par un organisme certificateur tiers.
|
|