Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

HTTPS Everywhere

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
13.05.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour version + lien Atlas. Nombre de domaines dans la base de données au 13.05.2015.

HTTPS Everywhere force les sites qui savent utiliser le protocole de communication sécurisé HTTPS à utiliser HTTPS au lieu du protocole non sécurisé HTTP, c'est-à-dire à chiffrer (encrypter) le Web !

HTTPS EverywhereHTTPS EverywhereHTTPS Everywhere

HTTPS Everywhere est un logiciel de sécurité informatique, développé et déployé par l'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Fondation).

L'Electronic Frontier Foundation (EFF) est une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Greateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).

HTTPS Everywhere force une liste de sites à utiliser le protocole sécurisé HTTPS de manière généralisée, sur l'ensemble des pages de ces sites.

Confusion - Le site doit déjà utiliser HTTPS

HTTPS Everywhere ne permet absolument pas d'accéder en HTTPS à un site qui n'utilise pas HTTPS.

HTTPS Everywhere ne permet que de forcer un site qui utilise déjà HTTPS sur certaines de ses pages à l'utiliser sur toutes ses pages. Rien de plus.

De nombreux sites utilisant HTTPS incorporent des contenus de sites tiers ne reconnaissant pas HTTPS.

Le protocole de communication sécurisé HTTPS est principalement utilisé par de grands sites, ceux des banques, des e-commerces, des sites de paiements en ligne, des sites des administrations (impôts et autres organisations gouvernementales en relation avec le public), etc. ...

Mais le protocole HTTPS requière, pour le chiffrement (cryptage) des données qui vont être transmises, un calcul (chiffrement SSL) qui augmente la charge des serveurs. Certains sites cherchent, bien qu'ayant implémenté SSL (HTTPS) et ayant payé une autorité de certification pour obtenir leur certificat, à alléger la charge de leurs serveurs et de leur bande passante en réduisant l'usage d'HTTPS à certaines pages seulement de leurs sites, les autres étant dirigées vers des serveurs " légers " sous le protocole non sécurisé HTTP.

Pourtant, HTTPS permet d'envoyer et recevoir des informations de manière chiffrée (sécurisées - cryptées), empêchant théoriquement quiconque de se mettre au milieu et de lire les données qui circulent (attaques "Man-In-The-Middle"). Théoriquement car la course aux contre-mesures contre les contre-mesures semble infinie et même HTTPS est décrypté.

HTTPS Everywhere est un composant logiciel additionnel aux navigateurs Firefox et Google Chrome. Il est écrit et édité par la puissante et redoutée EFF (Electronic Frontier Foundation) qui agit dans le domaine de la protection de la vie privée dans le monde des nouvelles technologies, aux États Unis, dans le cadre d'un projet commun avec le projet TOR. Ce module est écrit en JavaScript (1).

De nombreux sites, sur le Web, offrent un support, quoique limité, de chiffrement HTTPS, mais rendent la chose peu pratique à utiliser. Par exemple, un site peut opter par défaut pour une connexion non sécurisée (HTTP) ou bien placer des liens dans des pages chiffrées qui font remonter l'internaute vers une zone non sécurisée (afin d'alléger la charge de leurs serveurs).

L'extension HTTPS Everywhere résout ces problèmes en utilisant une technologie intelligente de réécriture à la volée, en HTTPS, de toutes les requêtes vers les pages de ces sites.

Ces sites, sur lesquels il est possible de passer en HTTPS, sont connus d'HTTPS Everywhere car ce dernier embarque une liste des sites ainsi identifiés comme sachant fonctionner en mode sécurisé et disposant d'un certificat délivré par une autorité de certification.

HTTPS Everywhere ne peut forcer votre protection que lors de votre navigation sur des sites qui supportent HTTPS et qui figurent dans la base de données des règles d'HTTPS Everywhere, base de données qui a vocation à croître. Vous pouvez d'ailleurs, vous-même, la faire croître en utilisant HTTPS Finder, le compagnon d'HTTPS Everywhere.

Les sites forcés en HTTPS étaient :

  • Un peu moins de 1000 au lancement de la version 1 de HTTPS Everywhere.
  • Au 24.02.2013 il y a plus de 6000 règles dans la base de données de la version 3 d'HTTPS Everywhere.
  • Au 13.06.2015 il y a 18.121 sites dans l'Atlas d'HTTPS Everywhere.

Un Wiki, mis en place par l'EFF, donne le détail de la manière dont certains sites gèrent HTTPS et permet aux internautes de contribuer.

HTTPS Everywhere - Compagnon de HTTPS Finder HTTPS Everywhere + HTTPS Finder HTTPS Everywhere - Compagnon de HTTPS Finder

La base de données de HTTPS Everywhere est majoritairement constituée de sites américains, bien que la plupart d'entre eux soient des sites internationaux auxquels nous accédons également depuis les pays francophones.

Dans HTTPS Everywhere il est possible de créer des règles pour de nouveaux sites découverts, qui supportent HTTPS. Toutefois, la création de ces règles n'est pas à la portée de l'internaute "normal".
Comment écrire des règles pour HTTPS Everywhere.

Il y a plus simple : installez HTTPS Finder à côté de HTTPS Everywhere.
HTTPS Finder cherche, systématiquement, à utiliser HTTPS et, s'il découvre des sites inconnus de HTTPS Everywhere supportant HTTPS, HTTPS Finder permet, d'un clic, de créer la règle et de l'introduire dans HTTPS Everywhere. Lire la page HTTPS Finder et installer HTTPS Finder à côté de HTTPS Everywhere.

HTTPS Everywhere et Android et ChromeHTTPS Everywhere et Android et ChromeHTTPS Everywhere et Android et Chrome

Google fait tout pour empêcher certaines extensions d'être installées dans Android et Chrome. Le prétexte est le nombre élévé de malveillances qui font que Google souhaite que tout passe par son " webstore extensions " afin qu'il puisse tout contrôler. C'est logique et justifié. Mais... qu'est-ce qui fait que Google n'a pas voulu d'HTTPS Everywhere durant longtemps ?

Cours j't'attrape - l'escalade des mesures et contre-mesuresCours j't'attrape - l'escalade des mesures et contre-mesuresCours j't'attrape - l'escalade des mesures et contre-mesures

Contre-mesures à HTTPS !

  • Attaque « Homme du milieu » ("Man in the middle") - Nokia contre tous ses utilisateursAttaque « Homme du milieu » ("Man in the middle") - Nokia contre HTTPS et tous ses utilisateursAttaque « Homme du milieu » ("Man in the middle") - Nokia contre tous ses utilisateurs

    10.01.2013 - Attaque "Man-in-the-middle" conduite systématiquement par le fabriquant de smartphones Nokia et son navigateur pour smartphone Xpress Browser contre toutes les communications en HTTPS de tous les utilisateurs de ses Smartphones. La réponse laconique de Nokia laisse sans voix. En substance : "Oui, nous décryptons vos communication HTTPS mais ne vous inquiétez pas pour celà !".

    Cela concerne toutes les communications, incluant les établissements de connexions sécurisées vers les banques, les emails chiffrés, etc. ... 1; 2; 3; 4.

    Déclaration du chercheur Gaurang Pandya

    « D'après les tests effectués, il est évident que Nokia effectue une attaque « Man In The Middle » sur le trafic HTTPS sensible provenant de leurs téléphones et, donc, ils ont accès à des informations en texte clair incluant les identifiants de ses utilisateurs sur divers sites tels que les réseaux sociaux, les services bancaires, les informations de carte bancaires ou tout ce qui est sensible par nature. »

    Pour un cybercriminel (ce qu'est Nokia dans cette affaire) qui se fait prendre à décrypter HTTPS, combien le font en silence, à l'insu de tous ?...


  • Attaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPS

    Aucun « Permis de PC » n'existe et aucune information n'est réellement diffusée auprès des utilisateurs (les banques ont quelques pages d'information peu accesibles et peu utiles). La raison en est qu'il n'est pas question de faire peur aux « clients » avec les risques du Web. Cela risque de fraîner le développement des services sur le Web et le développement tous azimuts de l'industrie informatique. En conséquence :

    • Il est rare qu'un internaute surveille le protocole utilisé pour naviguer sur un site Internet.
    • Il est rare qu'un internaute sache ce qu'est HTTPS par rapport à HTTP.
    • Il est rare qu'un internaute sache ce qu'est un certificat d'authentification.

    Il faut pourtant bien comprendre que « Le Web, c’est dangereux ».

    Un chercheur en sécurité et insécurité informatique connu sous le pseudo de « Moxie Marlinspike » a présenté à la conférence Black Hat de février 2009, une démonstration d'une attaque relativement simple contre HTTPS. Il a compromis un dispositif (un " proxy ") se trouvant sur le chemin vers un serveur utilisant HTTPS et a remplacé à la volée le protocole HTTPS en HTTP, avec imitation de l'icône de confiance (le cadena fermé), tout en laissant croire au serveur et au client (avec un faux certificat), que tout le trafic est en HTTPS. Les données très privées (comptes, cartes bancaires, etc. ...) envoyées par les internautes le sont en clair, sans aucun chiffrement. Il suffit de les lire, en clair, sur le proxy, tandis qu'elles transitent vers le serveur du site visité par l'internaute piégé.

    Les transparents (slides) utilisés lors de cette conférence

    Les mêmes transparents (slides) avec la bande son de ses commentaires (en anglais) présentant son attaque, appelée sslstrip (1 h 09').

    Cette attaque est maintenue à jour (dernière modification notée : 15 mai 2011) et a son code en Open source et un développement public sur github.

  • Attaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPSAttaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPS

    20.09.2013 - Le magazine Der Spiegel révèle que l'agence britannique de surveillance des communications espionnait, depuis 2010, le principal opérateur téléphonique belge, l'entreprise d'état Belgacom, qui a notamment comme clients la Commission Européenne, le Conseil Européen et le Parlement Européen. Sous le nom de code "Operation Socialist", le GCHQ a infiltré le réseau informatique interne de cette entreprise à l'aide de Chevaux de Troie portant le nom de "Quantum Insert". Cette opération visait notamment la filiale BICS de Belgacom, qui a comme autres actionnaires l'opérateur suisse Swisscom et l'opérateur sud-africain Telekomkonzern. L'objectif principal de ce cyber-espionnage était d'être capable de surveiller le contenu de communications de "cibles" utilisant des smartphones, grâce à une technique appelée "Man-in-the-Middle". Voir Prism et compagnie.

    Le 4 octobre 2013, le Guardian révèle, avec le support de l'expert en sécurité informatique Bruce Schneier, que la NSA et le GCHQ ont déployé sur internet un réseau secret de "serveurs" (nom de code Quantum), capables d'intercepter les requêtes adressées à des sites internet par des personnes ciblées. L'interception du flux est rendu possible grâce aux partenariats avec les opérateurs internet qui permettent aux agences de placer leurs serveurs aux points névralgiques du réseau internet. Ce dispositif est complété par un deuxième réseau secret de serveurs (nom de code FoxAcid) capables d'injecter un logiciel malveillant dans la requête internet. Ainsi, avec cette technique de détournement appelée "Man-in-the-middle", un internaute ciblé navigue sans se rendre compte qu'un logiciel malveillant s'est installé à son insu sur son équipement en exploitant une vulnérabilité.


Voir les révélations d'Edward Snowden.


Contre-mesures à Capcha !
Les " Turing porn farm ";

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

HTTPS Everywhere Atlas

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "