HTTPS Everywhere force cmti.me à utiliser HTTPS

HTTPS Everywhere contraint cmti.me à utiliser HTTPS sur toutes ses pages (protection de votre vie privée et de vos données échangées avec le site).

21.10.2022 : Pierre Pinard.

Les échanges sur le WEB entre vous et le site cmti.me peuvent se faire de manière sécurisée.

Le site cmti.me dispose d'un certificat dit SSL (Secure Sockets Layer) qui lui permet d'utiliser un protocole de sécurisation des échanges avec vous (chiffrement appelé désormais TLS [Transport Layer Security], mais l'ancien terme SSL est le plus populaire - considérez-les comme des synonymes). Ce certificat permet donc à cmti.me de communiquer avec vous dans le mode sécurisé HTTPS au lieu du mode non sécurisé HTTP.

HTTP - HTTPS - Certificat SSL - SSL - TLS

Toutefois, le site cmti.me ne l'utilise pas sur la totalité de ses pages.

Le protocole de communication sécurisée entre vous (votre ordinateur, dit le « client » [les logiciels « clients » installés dans votre ordinateur/appareil, essentiellement dans les navigateurs Web] dans la relation Web client/serveur) et le serveur du site cmti.me, en HTTPS, protège vos données et votre vie privée, notamment les données que vous seriez amenés à saisir ou consulter dans des formulaires (paiements, identifiants, données personnelles et confidentielles, etc., liste minimum des données privées officiellement collectées), contrairement au protocole non sécurisé HTTP.

HTTPS Everywhere établit de force la communication sur toutes les pages du site cmti.me avec chiffrement (cryptographie), authentification et intégrité, ce qui rend plus difficile le travail d'un attaquant cherchant à lire, capturer ou modifier vos données lorsqu'elles circulent de ou vers cmti.me ou lorsqu'une attaque est conduite contre les serveurs de cmti.me.

L'une des formes d'attaques des données, lorsqu'elles circulent entre votre appareil et cmti.me est appelée MITM (Man-In-The-Middle ou, en français, HDM - Homme Du Milieu). Ce sont des attaques dans lesquelles l'attaquant s'interpose entre deux communicants (le client et le serveur), à l'insu de l'un et de l'autre, en investissant le canal de communication (par exemple en implantant le paramétrage d'un proxy.). Lire :

HTTPS Everywhere est un logiciel de sécurité informatique gratuit, libre (copyleft), développé et déployé par :

• L'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Foundation). Il s'agit d'une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Grateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).

• Le projet Tor (The onion router).

HTTPS Everywhere force le site cmti.me, sachant utiliser HTTPS sur certaines de ses pages, à utiliser le protocole sécurisé HTTPS de manière généralisée, sur l'ensemble de ses pages.

Notes :

• Notes :

  • À partir de 2018, HTTPS Everywhere est incorporé de base dans la plupart des navigateurs Web.

  • À partir de 2020, HTTPS Everywhere n'est plus à installer ni même incorporé de base dans les navigateurs Web. Les navigateurs Web tentent, désormais, systématiquement, d’accéder à toutes les pages Web de tous les sites Web du monde en mode sécurisé HTTPS qui devient le protocole par défaut. Si cela ne fonctionne pas, l’accès régressif en protocole non sécurisé HTTP est utilisé, mais l'accès à des formulaires de saisie provoque un avertissement que l'utilisateur doit alors accepter explicitement, ce qui dégage de toute responsabilité le site Web, son opérateur et les outils de navigation et de sécurité.

    Tout ce qui est dit ci-après est donc « d’archives ».

  Annonce

  

  Comment se présente HTTPS Everywhere

  HTTPS Everywhere est un composant logiciel additionnel (une extension) aux navigateurs Firefox (ordinateurs et mobiles), Opera, Google Chrome, Chromium, Microsoft Edge et Android (à partir de 2014). Il est préinstallé dans Brave et TOR. Il est écrit et édité par l'EFF (Electronic Frontier Foundation) qui agit dans le domaine de la protection de la vie privée dans le monde des nouvelles technologies, aux États-Unis, dans le cadre d'un projet commun avec le projet TOR. L'EFF produit également Privacy Badger.

  Le module HTTPS Everywhere est écrit en JavaScript (il est donc portable de manière universelle, le langage JavaScript étant universel).

  De nombreux sites, sur le Web, offrent un support, quoique limité, de chiffrement HTTPS, mais rendent la chose peu pratique à utiliser afin d'alléger la charge de leurs serveurs.

  L'extension HTTPS Everywhere résout ces problèmes en utilisant une technologie intelligente de réécriture à la volée, en HTTPS, de toutes les requêtes vers les pages de ces sites.

  Ces sites, sur lesquels il est possible de passer intégralement en HTTPS, sont connus de HTTPS Everywhere, car ce dernier embarque une liste des sites ainsi identifiés comme sachant fonctionner en mode sécurisé et disposant d'un certificat SSL délivré par une autorité de certification.

  HTTPS Everywhere ne peut forcer votre protection que lors de votre navigation sur des sites qui supportent déjà HTTPS.

  Annonce

  

  HTTPS Everywhere en mode natif

  Octobre 2018 : le nouveau navigateur Web « Brave », qui protège la vie privée (mais est encore en phase de bêta-test), embarque nativement HTTPS Everywhere.

  Annonce

  

  Webmaster - truc pour vos sites

  Le fichier .htaccess devrait contenir la clause suivante afin de forcer HTTPS sur toutes les pages d'un site à partir du moment où ce site dispose d'un certificat SSL :

  RewriteEngine On
RewriteCond %{SERVER_PORT}80
RewriteRule ^(.*)$ https://votre nom de domaine.votre top level domain/$1 [R=301,L]

  Annonce

  

  Ressources

  Dossier (collection) : Filtrer/refuser la collecte de données privées

  Dossier : Filtrer le tracking Listes 1, 2, 3, 4, 5, 6, 7, 8 de domaines filtrés Stop tracking avec Firefox Surveillez qui vous surveille : lightbeam (ex Collusion) Stop tracking avec lightbeam version 3.0 Filtrage de la collecte de données privées : Ghostery Privacy Badger (EFF) BetterPrivacy (Flash cookies, LSO) Clear Flash Cookies (Flash cookies, LSO) Decentraleyes Disconnect NoScript HTTPS Everywhere Adblock Plus Adblock Plus AntiSocial Adblock Plus EasyPrivacy Adblock Plus Malwaredomains uBlock Origin Refus de la collecte de données privées : RGPD (Règlementation Générale Protection Données) Tabeau de synthèse des Opt-Out des alliances de régies publicitaires Opt-Out EDAA (European Digital Advertising Alliance) Opt-Out DAA - (Digital Advertising Alliance) Opt-Out NAI - (Network Advertising Initiative) Opt-Out Yahoo! Opt-Out Microsoft Opt-Out Google Do Not Track Plus (DNT+) (Abine) Do Not Track Me (Abine) Crétiniseur de Profiling Dossier(s) Dossier : Stop Tracking Protocole de blocage complet publicité/tracking

  
  

  Dossier (collection) : Traces externes et surveillance - Stop Tracking

  Dossier : Stop Tracking Qui êtes-vous ? e-Réputation Qui êtes-vous ? Le droit à l'oubli Vidéo : NSA - L'agence de l'Ombre (Arte) Cercles de connaissances - Vols organisés Tracking : Les finalités avouées (alibi) de la surveillance Tracking Profiling Analyse comportementale Marketing comportemental Comprendre la chaîne du tracking et du profiling - schéma Consolidation des fichiers de tracking Tracking : Les outils de la surveillance des internautes Web Bug Hit parade des utilisateurs de Web Bug Cookies Flash cookies (LSO - Local Shared Objects) Entêtes HTTP - Les « requêtes HTTP » sont un « cheval de Troie » Google - Liste des services en ligne Google - Le principe d'encerclement Did they read it (tracking dans les e-mail) WOT - Un vaste système d'espionnage (tracking) Qui êtes-vous ? Bavardages avec les serveurs Qui êtes-vous ? Vos cercles de connaissances Qui êtes-vous ? Géolocalisation Qui êtes-vous ? Que dit le serveur de votre FAI Qui êtes-vous ? Traces révélées par vous-même Tracking : L'analyse des traces - Data Mining et Big Data Qui êtes vous ? Catégorie socioprofessionnelle Qui êtes-vous ? Data mining : pêche aux traces Qui êtes-vous ? RIOT : Google des vies privées. Qui êtes vous ? TIA : Tout capturer Tout savoir Qui êtes-vous ? GOSSIP - Profiling militaire Stop Tracking par le blocage de la publicité Procédure de blocage des publicités et de leurs tracking Protection navigateur, navigation, vie privée Adblock Plus AdGuard AdBlock Edge (archive - n'existe plus) AdFender uBlock Origin Stop Tracking - Les dispositifs autres que le blocage de la publicité Opt-Out (le principe) Opt-in (le principe) Le Conseil d'État se prononce pour l'Opt-in contre l'Opt-out Ghostery - filtre des sociétés de surveillances et tracking Opt-Out TRUSTe applications Android Opt-Out TRUSTe applications iOS Opt-Out DAA applications Android Opt-Out DAA applications iOS Opt-Out DDAI applications Android Opt-Out DDAI applications iOS Opt-Out EDAA European Digital Advertising Alliance Opt-Out NAI Network Advertising Initiative Opt-Out ADAA Australian Digital Advertising Alliance Opt-Out DAA Digital Advertising Alliance Opt-Out DAAC Digital Advertising Alliance Canada Opt-Out DDAI Data Driven Advertising Initiative Opt-Out de Google Opt-Out de Microsoft Opt-Out de Yahoo! Do Not Track Plus (DNT+) Do Not Track Me (Abine) EasyPrivacy AntiSocial (Fanboy's Social Blocking List) Malwaredomains BetterPrivacy (Flash cookies, Local Shared Objects, LSO) Disconnect Privacy Badger (EFF) Crétiniseur de Profiling Facebook Disconnect (en utilisant Disconnect) Facebook Disconnect (Add-on aux navigateurs) TrackerBlock La télémétrie, le tracking pour votre bien ! Microsoft espionne et l'écrit en toutes lettres Télémétrie - Espionnage ou préparation de l'avenir Faites taire Windows O&O ShutUp10 (faire taire Windows) DWS - Destroy Windows Spying (Windows 7, 8.1, 10) WPD - Windows Privacy Dashboard (Windows 7, 8, 8.1, 10) DisableWinTracking (Windows 10) Blackbird (Vista, 7, 8, 8.1, 10 [Home/Pro/Ent/Edu] 32 et 64 bits) Spybot Anti-Beacon (Windows 7, 8, 8.1, 10) Désactiver Diagnostics Tracking Service Windows 10 Privacy Fixer DoNotSpy10 Le beau projet DNT tué dans l'oeuf Do Not Track Do Not Track - Activer dans Firefox Do Not Track - Activer dans IE Do Not Track - Activer dans Opera Do Not Track - Activer dans Safari Do Not Track - Activer dans Chrome Surveiller les surveillants - Voir le tracking en temps réel Collusion Lightbeam CookieViz Cookies Cookie : définition - Qu'est-ce que c'est ? Cookies de Tracking Opt Out - Cookie de tracking Evercookie - Cookies persistants impossibles à supprimer Cookie obligatoire sinon rien (SlashdotMedia) Supercookies Flash cookies Local Shared Objects, LSO Session cookie Persistent cookie Secure cookie HttpOnly cookie First-party cookies Third-party cookie Zombie cookie Sociétés de tracking et de profiling Liste de domaines publicitaires Liste de domaines de statistiques pour webmasters Liste de domaines de services de communication Liste de domaines de réseaux sociaux et socialisation Liste de domaines de tracking par gadgets et Widget Liste de domaines de services audio/video Liste de domaines publicitaires pour adultes Liste de domaines commentaires produits marchands Liste de domaines tracking membres de la DAA Liste de domaines tracking membres de la NAI Liste compilée de toutes les listes ci-dessus. Hit parade des utilisateurs de Web Bug