 |
Assiste.com
| |
Dossier : HTTPS Everywhere pour contraindre HTTPS
Dossier : HTTPS Everywhere contraint les sites Web à utiliser HTTPS sur toutes leurs pages et non sur quelques-unes seulement (protection vie privée et données).
21.10.2022 : Pierre Pinard.
|
Dossier (collection) : HTTPS Everywhere |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Sécurité informatique - Vie privée - Neutralité |
HTTPS Everywhere est un logiciel de sécurité informatique gratuit, libre (copyleft), développé et déployé par :
L'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Foundation).
HTTPS Everywhere force une liste de sites WEB (domaines WEB) à utiliser le protocole sécurisé de communication HTTPS de manière généralisée, sur l'ensemble des pages de leurs sites, lorsque ces sites WEB savent déjà utiliser HTTPS, mais ne l'utilisent que sur quelques-unes de leurs pages.
Notes :
Notes :
À partir de 2018, HTTPS Everywhere est incorporé de base dans la plupart des navigateurs Web.
À partir de 2020, HTTPS Everywhere n'est plus à installer ni même incorporé de base dans les navigateurs Web. Les navigateurs Web tentent, désormais, systématiquement, d’accéder à toutes les pages Web de tous les sites Web du monde en mode sécurisé HTTPS qui devient le protocole par défaut. Si cela ne fonctionne pas, l’accès régressif en protocole non sécurisé HTTP est utilisé, mais l'accès à des formulaires de saisie provoque un avertissement que l'utilisateur doit alors accepter explicitement, ce qui dégage de toute responsabilité le site Web, son opérateur et les outils de navigation et de sécurité.
Tout ce qui est dit ci-après est donc « d’archives ».
Les échanges sur le WEB entre vous et le site ..Dossier peuvent se faire de manière sécurisée.
Le site ..Dossier dispose d'un certificat dit SSL (Secure Sockets Layer) qui lui permet d'utiliser un protocole de sécurisation des échanges avec vous (chiffrement appelé désormais TLS [Transport Layer Security], mais l'ancien terme SSL est le plus populaire - considérez-les comme des synonymes). Ce certificat permet donc à ..Dossier de communiquer avec vous dans le mode sécurisé HTTPS au lieu du mode non sécurisé HTTP.
Toutefois, le site ..Dossier ne l'utilise pas sur la totalité de ses pages.
Le protocole de communication sécurisée entre vous (votre ordinateur, dit le « client » [les logiciels « clients » installés dans votre ordinateur/appareil, essentiellement dans les navigateurs Web] dans la relation Web client/serveur) et le serveur du site ..Dossier, en HTTPS, protège vos données et votre vie privée, notamment les données que vous seriez amenés à saisir ou consulter dans des formulaires (paiements, identifiants, données personnelles et confidentielles, etc., liste minimum des données privées officiellement collectées), contrairement au protocole non sécurisé HTTP.
HTTPS Everywhere établit de force la communication sur toutes les pages du site ..Dossier avec chiffrement (cryptographie), authentification et intégrité, ce qui rend plus difficile le travail d'un attaquant cherchant à lire, capturer ou modifier vos données lorsqu'elles circulent de ou vers ..Dossier ou lorsqu'une attaque est conduite contre les serveurs de ..Dossier.
L'une des formes d'attaques des données, lorsqu'elles circulent entre votre appareil et ..Dossier est appelée MITM (Man-In-The-Middle ou, en français, HDM - Homme Du Milieu). Ce sont des attaques dans lesquelles l'attaquant s'interpose entre deux communicants (le client et le serveur), à l'insu de l'un et de l'autre, en investissant le canal de communication (par exemple en implantant le paramétrage d'un proxy.). Lire :
HTTPS Everywhere est un logiciel de sécurité informatique gratuit, libre (copyleft), développé et déployé par :
L'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Foundation). Il s'agit d'une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Grateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).
HTTPS Everywhere force le site ..Dossier, sachant utiliser HTTPS sur certaines de ses pages, à utiliser le protocole sécurisé HTTPS de manière généralisée, sur l'ensemble de ses pages.
Notes :
Notes :
À partir de 2018, HTTPS Everywhere est incorporé de base dans la plupart des navigateurs Web.
À partir de 2020, HTTPS Everywhere n'est plus à installer ni même incorporé de base dans les navigateurs Web. Les navigateurs Web tentent, désormais, systématiquement, d’accéder à toutes les pages Web de tous les sites Web du monde en mode sécurisé HTTPS qui devient le protocole par défaut. Si cela ne fonctionne pas, l’accès régressif en protocole non sécurisé HTTP est utilisé, mais l'accès à des formulaires de saisie provoque un avertissement que l'utilisateur doit alors accepter explicitement, ce qui dégage de toute responsabilité le site Web, son opérateur et les outils de navigation et de sécurité.
Tout ce qui est dit ci-après est donc « d’archives ».
Annonce 
Le principal développeur de HTTPS Everywhere, l'Electronic Frontier Foundation (EFF) est une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Grateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).
HTTPS Everywhere est un composant logiciel additionnel (une extension) aux navigateurs Firefox (ordinateurs et mobiles), Opera, Google Chrome, Chromium, Microsoft Edge et Android (à partir de 2014). Il est préinstallé dans Brave et TOR. Il est écrit et édité par l'EFF (Electronic Frontier Foundation) qui agit dans le domaine de la protection de la vie privée dans le monde des nouvelles technologies, aux États-Unis, dans le cadre d'un projet commun avec le projet TOR. L'EFF produit également Privacy Badger.
Le module HTTPS Everywhere est écrit en JavaScript (il est donc portable de manière universelle, le langage JavaScript étant universel).
De nombreux sites, sur le Web, offrent un support, quoique limité, de chiffrement HTTPS, mais rendent la chose peu pratique à utiliser afin d'alléger la charge de leurs serveurs.
L'extension HTTPS Everywhere résout ces problèmes en utilisant une technologie intelligente de réécriture à la volée, en HTTPS, de toutes les requêtes vers les pages de ces sites.
Ces sites, sur lesquels il est possible de passer intégralement en HTTPS, sont connus de HTTPS Everywhere, car ce dernier embarque une liste des sites ainsi identifiés comme sachant fonctionner en mode sécurisé et disposant d'un certificat SSL délivré par une autorité de certification.
HTTPS Everywhere ne peut forcer votre protection que lors de votre navigation sur des sites qui supportent déjà HTTPS.
Annonce Confusions avec HTTPS Everywhere ! Le site soumis à HTTPS Everywhere doit déjà utiliser le protocole HTTPS, mais il ne l'utilise que partiellement, juste sur une partie de ses pages.
HTTPS Everywhere ne permet absolument pas d'accéder en HTTPS à un site WEB qui n'utilise pas HTTPS (qui n'a pas de certificat SSL).
HTTPS Everywhere ne permet que de forcer un site WEB qui utilise déjà HTTPS (qui a déjà un certificat SSL et ne l'utilise que sur certaines de ses pages) à l'utiliser sur toutes ses pages. Rien de plus.
D'autre part, de nombreux sites WEB utilisant HTTPS incorporent des contenus de sites tiers ne reconnaissant pas HTTPS. Pour ces sites tiers, HTTPS Everywhere ne peut rien.
Octobre 2018 : le nouveau navigateur Web « Brave », qui protège la vie privée (mais est encore en phase de bêta-test), embarque nativement HTTPS Everywhere.
Annonce Il existe un certificat SSL simple à obtenir, gratuit et immédiat : Let's Encrypt.
Utiliser le protocole HTTPS a pu paraître coûteux et compliqué aux yeux de nombreux Webmasters (il faut payer une autorité de certification et obtenir un certificat SSL), mais il existe une mise en oeuvre gratuite et immédiate de ce protocole : Let's Encrypt gérée par l'ISRG (Internet Security Research Group), la plus grande autorité de certification au monde et à but non lucratif. Ses principaux sponsors sont l'EFF - Electronic Frontier Foundation, la Fondation Mozilla, etc. La seule différence d'avec le certificat SSL payant et plus long à obtenir est que l'autorité de certification ne vérifie pas la réalité et l'identité du propriétaire du domaine certifié qui n'a donc pas l'obligation de se révéler (identité, adresse et autres informations vérifiées et revérifiées chaque année pour renouveler le certificat SSL). Let's Encrypt est à vie (mais si le domaine manipule des données privées, des marchandises, de l'argent, des applications, etc., le certificat gratuit Let's Encrypt ne lui permet pas d'être « de confiance » en ces domaines).
Le fichier .htaccess devrait contenir la clause suivante afin de forcer HTTPS sur toutes les pages d'un site à partir du moment où ce site dispose d'un certificat SSL :
RewriteEngine On
RewriteCond %{SERVER_PORT}80
RewriteRule ^(.*)$ https://votre nom de domaine.votre top level domain/$1 [R=301,L]Annonce Le protocole HTTPS de communication sécurisé est principalement utilisé par de grands sites WEB, ceux des banques, des e-commerces, des sites de paiement en ligne, des sites des administrations (impôts et autres organisations gouvernementales en relation avec le public), etc.
Le protocole HTTPS est poussé par tous les opérateurs du WEB pour être utilisé par tous les sites WEB, de quelques nature qu'ils soient (Google et tous les moteurs de recherche, par exemple, donnent un meilleur référencement aux sites utilisant HTTPS).
Le protocole HTTPS requiert, pour le chiffrement (cryptage) des données qui vont être transmises, un calcul (chiffrement SSL/déchiffrement) qui augmente la charge de calcul des serveurs, raison pour laquelle ce protocole n'est pas implanté sur toutes les pages d'un site WEB afin d'économiser cette charge de calcul qui se traduit par une consommation électrique plus importante, un échauffement des serveurs, un vieillissement plus rapide du matériel, un besoin en climatisation plus important et un ralentissement du temps de réponse.
Bien qu'ayant implémenté SSL (HTTPS) et ayant payé une autorité de certification pour obtenir leur certificat SSL, certains sites WEB cherchent à alléger la charge de leurs serveurs et de leur bande passante en réduisant l'usage de HTTPS à certaines pages seulement de leurs sites (celles nécessitant une authentification avec un identifiant et un mot de passe, celles avec des formulaires où sont échangés des données personnelles (liste des données privées officiellement collectées), une adresse, un moyen de paiement, etc.), les autres pages étant dirigées vers des serveurs « légers » sous le protocole non sécurisé HTTP.
Pourtant, HTTPS permet d'envoyer et recevoir des informations de manière chiffrée (sécurisées - cryptées), empêchant, théoriquement, quiconque de se mettre au milieu et de lire les données qui circulent (attaques « Man-In-The-Middle »), l'objectif étant de chiffrer le trafic qui pourrait être écouté.
Théoriquement, car la course aux contre-mesures contre les contre-mesures semble infinie et même HTTPS est décrypté ou attaqué (Nokia pratique une attaque institutionnelle « Man-In-The-Middle » du chiffrement HTTPS de tous ses clients et utilisateurs de smartphones) et la NSA a juré de casser tous les algorithmes de cryptage (sous prétexte de post 11 septembre (et régression des libertés individuelles), d'antiterrorisme et de Patriot Act).
Annonce HTTPS Everywhere est un composant logiciel additionnel (une extension) aux navigateurs Firefox (ordinateurs et mobiles), Opera, Google Chrome, Chromium, Microsoft Edge et Android (à partir de 2014). Il est préinstallé dans Brave et TOR. Il est écrit et édité par l'EFF (Electronic Frontier Foundation) qui agit dans le domaine de la protection de la vie privée dans le monde des nouvelles technologies, aux États-Unis, dans le cadre d'un projet commun avec le projet TOR. L'EFF produit également Privacy Badger.
Le module HTTPS Everywhere est écrit en JavaScript (il est donc portable de manière universelle, le langage JavaScript étant universel).
De nombreux sites, sur le Web, offrent un support, quoique limité, de chiffrement HTTPS, mais rendent la chose peu pratique à utiliser afin d'alléger la charge de leurs serveurs.
L'extension HTTPS Everywhere résout ces problèmes en utilisant une technologie intelligente de réécriture à la volée, en HTTPS, de toutes les requêtes vers les pages de ces sites.
Ces sites, sur lesquels il est possible de passer intégralement en HTTPS, sont connus de HTTPS Everywhere, car ce dernier embarque une liste des sites ainsi identifiés comme sachant fonctionner en mode sécurisé et disposant d'un certificat SSL délivré par une autorité de certification.
HTTPS Everywhere ne peut forcer votre protection que lors de votre navigation sur des sites qui supportent déjà HTTPS et qui figurent dans la base de données des règles de HTTPS Everywhere, base de données qui a vocation à croître. Vous pouvez d'ailleurs, vous-même, la faire croître en utilisant HTTPS Finder, le compagnon de HTTPS Everywhere.
Nombre de sites forcés en HTTPS grâce à HTTPS Everywhere :
Un peu moins de 1000 au lancement de la version 1 de HTTPS Everywhere.
Au 24.02.2013 il y a un peu plus de 6000 domaines dans la base de données de la version 3 de HTTPS Everywhere.
Au 13.06.2015 il y en a 18.121
Au 11.07.2017 il y en a 59.676
Au 01.10.2017 il y en a 58.318 (cette baisse signifie que les sites passent, petit à petit, entièrement en HTTPS)
Au 15.08.2018 il y en a 62.721
Au 22.11.2019 il y en a 63.029 (relative stagnation - HTTPS commence à être partout, le référencement favorisé dans les moteurs de recherche poussant les webmasters à le déployer).
Au 18.04.2020 il y en a 63.172 (confirmation du plateau).
Un Wiki (qui n'existe plus), mis en place par l'EFF, donne le détail de la manière dont certains sites gèrent HTTPS et permet aux internautes de contribuer.
Annonce Dans HTTPS Everywhere, il est possible de créer des règles pour de nouveaux sites découverts, qui supportent partiellement HTTPS. Toutefois, la création de ces règles n'est pas à la portée de l'internaute « normal ».
Comment écrire des règles pour HTTPS Everywhere.Il y avait plus simple avec HTTPS Finder.
HTTPS Finder cherchait, systématiquement, à utiliser HTTPS et, s'il découvrait des sites, inconnus de HTTPS Everywhere, supportant HTTPS partiellement, HTTPS Finder permettait, d'un clic, de créer la règle et de l'introduire dans la base de données de HTTPS Everywhere. Lire la page HTTPS Finder. Il suffisait d'installer HTTPS Finder à côté de HTTPS Everywhere.
Le module HTTPS Finder, ex compagnon de HTTPS Everywhere, n'existe plus
Le module HTTPS Finder a été retiré par son auteur (Kevin Jacobs).
La dernière version était la HTTPS Finder 0.91b (httpsfinder_0.91b.xpi), du 4 décembre 2013, pour Firefox 24+.
Raison non expliquée mais probablement grace aux mises à jour de HTTPS Everywhere qui rendaient les règles générées par HTTPS Finder inutiles.
Annonce HTTPS Everywhere dans Google Android et Google Chrome
Google fait tout pour empêcher certaines extensions d'être installées dans Android et Chrome. Le prétexte est le nombre élevé d'extensions qui sont des malveillances. Google souhaite que tout passe par son « webstore extensions » afin qu'il puisse tout contrôler. C'est logique et justifié, mais... Qu'est-ce qui fait que Google n'a pas voulu de HTTPS Everywhere durant longtemps ? Il est probable que cela interfère avec son algorithme de classement des sites dans son moteur de recherche, car Google donne une préférence aux sites en HTTPS or, en classement naturel, les sites qui bénéficient de HTTPS Everywhere sont des sites qui ont des pages en HTTP et non pas en HTTPS, or Google analyse les sites tels qu'ils sont et existent, sans aucun outil manipulant les URLs de leurs pages, même si c'est pour le plus grand bien des utilisateurs et que cela va dans le sens de Google qui privilégie les sites utilisant HTTPS. En plus, HTTPS Everywhere est assez peu connu et n'est utilisé que par quelques centaines de milliers d'internautes sur plusieurs milliards.
| |
FAQ
HTTPS Everywhere
- Sécurité informatique
- Sécurité des systèmes d'information
- Risques informatiques
- Vulnérabilités informatiques
- Comment supprimer une malveillance informatique
- Comment supprimer une contamination informatique
- Comment supprimer un virus informatique
- Attaques et protections des mots de passe
- Analyses des risques d'un serveur informatique
- Analyses des risques d'un domaine informatique
- Analyses antivirus d'un code informatique
- Analyses antivirus d'un script informatique
- Avis personnels d'utilisateurs informatique (crowdsourcing)
- Avis de présence d'un objet informatique dans une liste noire
- Avis de sites informatiques d'arnaques ou contre façons
- Analyse d’un risque par étude du WHOIS d’un domaine informatique
- Légalité d'un organisme interbancaire entre un site marchand et votre banque
- Domaines informatiques faisant l'obet de plaintes
- HTTPS Everywhere
- Man in the middle
- Man-In-The-Middle - Attaque de Nokia contre HTTPS
- Proxy
- HTTPS - Contre-mesures à HTTPS et attaques d'HTTPS
- Phlashing