01.04.2012 - Révision 21.08.2020 - Révision mineure 09.03.2021. Auteur : Pierre Pinard.
Dossier (collection) : Encyclopédie informatique |
---|
Introduction Liste Plan du site Malwarebytes et Kaspersky recommandés Amazon |
Sommaire (montrer / masquer) |
---|
HTTP (HyperText Transfer Protocol) et HTTPS (HyperText Transfer Protocol Secure).
HTTP et HTTPS sont des protocoles de communication entre deux appareils (un client (vous, votre appareil, et un serveur sur le Web). HTTP n'est pas sécurisé, HTTPS oui, de bout en bout.
HTTPS ne se décrète pas par le webmaster ou l'administrateur d'un site Web, mais s'obtient après demande de certification (obtention d'un Certificat SSL). Il existe deux types de certification qui vont permettre d'utiliser le protocole SSL (en réalité, c'est le protocole TLS, mais le nom de l'ancien protocole sécurisé SSL est tellement commun qu'il est conservé par simplification de langage) :
HTTP est encore (2018) le protocole le plus utilisé, comme dans, par exemple, dans https://assiste.com. Partout, entre vous et le serveur, sur les câbles utilisés ou les transmissions radiofréquences utilisées (WiFi, Bluetooth, etc. ...) et sur les dispositifs intermédiaires (concentrateurs, proxy, etc. ...), le contenu peut être intercepté et lu sans aucune difficulté.
Le préfixe HTTPS d'une adresse Web (une URL) indique que, contrairement à HTTP, la communication entre votre navigateur (ou une application autre) et le Web se fait avec chiffrement, authentification et intégrité, ce qui rend plus difficile le travail d'un attaquant cherchant à lire ou modifier les données qui circulent en s'interposant sur leur passage (attaque « homme du milieu » [« man in the middle »] - Exemple).
Le certificat permet trois choses :
Lorsqu'un site utilise partiellement HTTPS, probablement pour économiser son serveur (HTTPS uniquement sur les pages manipulant des données confidentielles ou privées), ou parce que toutes ses pages et tous ses liens internes étaient écrits en HTTP avant qu'il ne passe à HTTPS (et qu'il reste des traces de ce vieux HTTP dans le site), votre navigateur Web peut vous alerter avec un message comme (exemple avec Firefox) :
Vous pouvez alors utiliser HTTPS Everywhere pour forcer ce site à utiliser HTTPS sur toutes ses pages.
Note : HTTP a été invente par Tim Berners-Lee alors qu'il inventait le Web.
Le document portant création du WEB indique que le WEB est sous Copyright du CERN mais est libre (librement utilisable et distribuable).
HTTPS Everywhere est un logiciel de sécurité informatique, développé et déployé par l'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Foundation).
L'Electronic Frontier Foundation (EFF) est une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Grateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).
HTTPS Everywhere force une liste de sites (domaines) à utiliser le protocole sécurisé HTTPS de manière généralisée, sur l'ensemble des pages de leurs sites lorsque ces sites savent utiliser HTTPS, mais ne l'utilisent que sur quelques-unes de leurs pages.
HTTPS Everywhere ne permet absolument pas d'accéder en HTTPS à un site WEB qui n'utilise pas HTTPS.
HTTPS Everywhere ne permet que de forcer un site WEB qui utilise déjà HTTPS sur certaines de ses pages à l'utiliser sur toutes ses pages. Rien de plus.
D'autre part, de nombreux sites WEB utilisant HTTPS incorporent des contenus de sites tiers ne reconnaissant pas HTTPS. Pour ces sites tiers, HTTPS Everywhere ne peut rien.
HTTPS Everywhere doit être installé dans votre navigateur Web.