Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

HTTPS Everywhere force les sites qui savent utiliser HTTPS à l'utiliser sur toutes leurs pages

HTTPS Everywhere force les sites qui savent utiliser le protocole HTTPS à l'utiliser sur toutes leurs pages et pas seulement sur quelques-unes

HTTPS Everywhere - HTTPS Everywhere HTTPS EverywhereEcrire à Assiste.com - HTTPS Everywhere - HTTPS Everywhere HTTPS Everywhere

HTTPS Everywhere est un logiciel de sécurité informatique, développé et déployé par l'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Fondation).

L'Electronic Frontier Foundation (EFF) est une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Greateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).

HTTPS Everywhere force une liste de sites à utiliser le protocole sécurisé HTTPS de manière généralisée, sur l'ensemble des pages de leurs sites lorsque ces sites savent utiliser HTTPS mais ne l'utilisent que sur quelques-une de leurs pages.

Attention - Confusion ! Le site doit déjà utiliser HTTPS

HTTPS Everywhere ne permet absolument pas d'accéder en HTTPS à un site qui n'utilise pas HTTPS.

HTTPS Everywhere ne permet que de forcer un site qui utilise déjà HTTPS sur certaines de ses pages à l'utiliser sur toutes ses pages. Rien de plus.

De nombreux sites utilisant HTTPS incorporent des contenus de sites tiers ne reconnaissant pas HTTPS.

Le protocole HTTPS de communication sécurisé est principalement utilisé par de grands sites, ceux des banques, des e-commerces, des sites de paiement en ligne, des sites des administrations (impôts et autres organisations gouvernementales en relation avec le public), etc. Il est poussé pour être utilisé par tous les sites Web, de quelque nature qu'ils soient (Google, par exemple, tend à mieux référencer les sites utilisant HTTPS que les autres).

Mais le protocole HTTPS requière, pour le chiffrement (cryptage) des données qui vont être transmises, un calcul (chiffrement SSL) qui augmente la charge des serveurs.

Bien qu'ayant implémenté SSL (HTTPS) et ayant payé une autorité de certification pour obtenir leur certificat, certains sites cherchent à alléger la charge de leurs serveurs et de leur bande passante en réduisant l'usage d'HTTPS à certaines pages seulement de leurs sites (celles nécessitant une authentification avec un identifiant et un mot de passe, celles où sont échangées des données personnelles, une adresse, un moyen de paiement, etc.), les autres pages étant dirigées vers des serveurs " légers " sous le protocole non sécurisé HTTP.

Pourtant, HTTPS permet d'envoyer et recevoir des informations de manière chiffrée (sécurisées - cryptées), empêchant, théoriquement, quiconque de se mettre au milieu et de lire les données qui circulent (attaques « Man-In-The-Middle »), l'objectif étant de chiffrer le trafic qui pourrait être écouté...

Théoriquement, car la course aux contre-mesures contre les contre-mesures semble infinie et même HTTPS est décrypté ou attaqué (Nokia pratique une attaque institutionnelle « Man-In-The-Middle » du chiffrement HTTPS de tous ses clients et utilisateurs de smartphones) et la NSA a juré de casser tous les algorithmes de cryptages (sous prétextes de post 11 septembre, d'anti-terrorisme et de Patriot Act).

Comment se présente HTTPS Everywhere

HTTPS Everywhere est un composant logiciel additionnel (une extension) aux navigateurs Firefox, Opera, Google Chrome et Android. Il est écrit et édité par la puissante et redoutée EFF (Electronic Frontier Foundation) qui agit dans le domaine de la protection de la vie privée dans le monde des nouvelles technologies, aux États Unis, dans le cadre d'un projet commun avec le projet TOR (1). L'EFF produit également Privacy Badger.

Le module HTTPS Everywhere est écrit en JavaScript.

De nombreux sites, sur le Web, offrent un support, quoique limité, de chiffrement HTTPS, mais rendent la chose peu pratique à utiliser. Par exemple, un site ayant un certificat et sachant utiliser HTTPS peut opter par défaut pour une connexion non sécurisée (en HTTP) ou bien placer des liens dans des pages chiffrées qui envoient l'internaute vers une zone non chiffrée (non sécurisée) afin d'alléger la charge de leurs serveurs).

L'extensionHTTPS Everywhere résout ces problèmes en utilisant une technologie intelligente de réécriture à la volée, en HTTPS, de toutes les requêtes vers les pages de ces sites.

Ces sites, sur lesquels il est possible de passer en HTTPS, sont connus d'HTTPS Everywhere car ce dernier embarque une liste des sites ainsi identifiés comme sachant fonctionner en mode sécurisé et disposant d'un certificat délivré par une autorité de certification.

HTTPS Everywhere ne peut forcer votre protection que lors de votre navigation sur des sites qui supportent HTTPS et qui figurent dans la base de données des règles d'HTTPS Everywhere, base de données qui a vocation à croître. Vous pouvez d'ailleurs, vous-même, la faire croître en utilisant HTTPS Finder, le compagnon d'HTTPS Everywhere.

Nombre de sites forcés en HTTPS grace à HTTPS Everywhere :

  • Un peu moins de 1000 au lancement de la version 1 de HTTPS Everywhere.
  • Au 24.02.2013 il y a plus de 6000 règles dans la base de données de la version 3 d'HTTPS Everywhere.
  • Au 13.06.2015 il y a 18.121 sites dans l'Atlas d'HTTPS Everywhere.
  • Au 11.07.2017 il y a 59.034 sites dans l'Atlas d'HTTPS Everywhere.

Un Wiki, mis en place par l'EFF, donne le détail de la manière dont certains sites gèrent HTTPS et permet aux internautes de contribuer.

HTTPS Everywhere + HTTPS Finder

La base de données de HTTPS Everywhere est majoritairement constituée de sites américains, bien que la plupart d'entre eux soient des sites internationaux auxquels nous accédons également depuis les pays francophones.

Dans HTTPS Everywhere il est possible de créer des règles pour de nouveaux sites découverts, qui supportent HTTPS. Toutefois, la création de ces règles n'est pas à la portée de l'internaute "normal".
Comment écrire des règles pour HTTPS Everywhere.

Il y a plus simple : installez HTTPS Finder à côté de HTTPS Everywhere.
HTTPS Finder cherche, systématiquement, à utiliser HTTPS et, s'il découvre des sites, inconnus de HTTPS Everywhere, supportant HTTPS, HTTPS Finder permet, d'un clic, de créer la règle et de l'introduire dans HTTPS Everywhere. Lire la page HTTPS Finder et installer HTTPS Finder à côté de HTTPS Everywhere.

HTTPS Everywhere - HTTPS Everywhere

HTTPS Everywhere - Derrière le rideau (Behind the scene) Derrière le rideauHTTPS Everywhere - Derriere le rideau HTTPS Everywhere

HTTPS Everywhere - Références RéférencesHTTPS Everywhere - Références HTTPS Everywhere