Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

HTTPS Everywhere force les sites HTTPS à l'utiliser

HTTPS Everywhere force les sites qui savent utiliser le protocole HTTPS à l'utiliser sur toutes leurs pages et pas seulement sur quelques-unes

HTTPS Everywhere est un logiciel de sécurité informatique, développé et déployé par l'une des références mondiales de la protection des droits individuels : la puissante et redoutée EFF (Electronic Frontier Fondation).

L'Electronic Frontier Foundation (EFF) est une organisation non gouvernementale internationale à but non lucratif, fondée en 1990 aux États-Unis par Mitch Kapor, John Gilmore, et John Perry Barlow (parolier du Greateful Dead et connu pour être l'auteur de la Déclaration d'indépendance du cyberespace).

HTTPS Everywhere force une liste de sites repérés pour leur laxisme à utiliser le protocole sécurisé HTTPS de manière généralisée, sur l'ensemble des pages de leurs sites lorsque ces sites savent utiliser HTTPS mais ne l'utilisent que sur quelques-unes de leurs pages.

Attention - Confusion ! Le site doit déjà utiliser HTTPS

HTTPS Everywhere ne permet absolument pas d'accéder en HTTPS à un site qui n'utilise pas HTTPS (qui n'a pas un certificat SSL).

HTTPS Everywhere ne permet que de forcer un site qui utilise déjà HTTPS sur certaines de ses pages à l'utiliser sur toutes ses pages. Rien de plus.

De nombreux sites utilisant HTTPS incorporent des contenus de sites tiers ne reconnaissant pas HTTPS.

Le protocole HTTPS de communication sécurisé est principalement utilisé par de grands sites, ceux des banques, des e-commerces, des sites de paiement en ligne, des sites des administrations (impôts et autres organisations gouvernementales en relation avec le public), etc. Il est poussé pour être utilisé par tous les sites Web, de quelque nature qu'ils soient (Google, par exemple, tend à mieux référencer les sites utilisant HTTPS que les autres).

Mais le protocole HTTPS requière, pour le chiffrement (cryptage) des données qui vont être transmises, un calcul (chiffrement SSL) qui augmente la charge des serveurs.

Bien qu'ayant implémenté SSL (HTTPS) et ayant payé une autorité de certification pour obtenir leur certificat, certains sites cherchent à alléger la charge de leurs serveurs et de leur bande passante en réduisant l'usage d'HTTPS à certaines pages seulement de leurs sites (celles nécessitant une authentification avec un identifiant et un mot de passe, celles avec des formulaires où sont saisies et échangées des données personnelles, une adresse, un moyen de paiement, etc.), les autres pages étant dirigées vers des serveurs " légers " sous le protocole non sécurisé HTTP.

Pourtant, HTTPS permet d'envoyer et recevoir des informations de manière chiffrée (sécurisées - cryptées), empêchant, théoriquement, quiconque de se mettre au milieu et de lire les données qui circulent (attaques « Man-In-The-Middle »), l'objectif étant de chiffrer le trafic qui pourrait être écouté...

Théoriquement, car la course aux contre-mesures contre les contre-mesures semble infinie et même HTTPS est décrypté ou attaqué (Nokia pratique une attaque institutionnelle « Man-In-The-Middle » du chiffrement HTTPS de tous ses clients et utilisateurs de smartphones) et la NSA a juré de casser tous les algorithmes de chiffrement (cryptage - sous prétextes de post 11 septembre, d'anti-terrorisme et de Patriot Act).

Comment se présente HTTPS Everywhere

HTTPS Everywhere est un composant logiciel additionnel (une extension) aux navigateurs Firefox, Opera, Google Chrome et Android. Il est écrit et édité par la puissante et redoutée EFF (Electronic Frontier Foundation) qui agit dans le domaine de la protection de la vie privée dans le monde des nouvelles technologies, aux États Unis, dans le cadre d'un projet commun avec le projet TOR (1). L'EFF produit également Privacy Badger (quelque chose à installer obligatoirement pour protéger sa vie privée et luter contre le tracking)

Le module HTTPS Everywhere est écrit en JavaScript.

De nombreux sites, sur le Web, offrent un support, quoique limité, de chiffrement HTTPS, mais rendent la chose peu pratique à utiliser. Par exemple, un site ayant un certificat et sachant utiliser HTTPS peut opter par défaut pour une connexion non sécurisée (en HTTP) ou bien placer des liens dans des pages chiffrées qui envoient l'internaute vers une zone non chiffrée (non sécurisée) afin d'alléger la charge de leurs serveurs).

L'extension HTTPS Everywhere résout ces problèmes en utilisant une technologie intelligente de réécriture à la volée, en requêtes HTTPS, de toutes les requêtes vers les pages de ces sites.

Webmasters, il existe une certification SSL gratuite

Il n'est pas nécessaire de passer par ces certificats payants, dans de nombreux cas. La quasi totalité des sites personnels peuvent utiliser une certification gratuite qui, certe, n'est pas aussi contraignate que les certifications commerciales (preuve que vous êtes bien qui vou prétendez être), mais est totalement gratuit et immédiat.

Utilisez Let’s Encrypt

Let’s Encrypt est une autorité de certification gratuite, automatisée et ouverte.

Au 06.08.2018, Let’s Encrypt fourni un certificat à plus de 115 millions de sites Web, soit plus de la moitié des certificats totaux dans le monde. Le but est que 100% du Web soit chiffré le plus rapidement possible.

Les fondateurs de Let’s Encrypt sont, entre autres, l'EFF et la Fondation Mozilla.

Webmasters, passez toutes vos pages en HTTPS automatiquement

Ecrire, dans votre fichier .htaccess, ceci :

RewriteEngine On

RewriteCond %{SERVER_PORT}80
RewriteRule ^(.*)$ https://votrenomdedomaine.votretld/$1 [R=301,L]

Ces sites, sur lesquels il est possible de passer en HTTPS, sont connus d'HTTPS Everywhere car ce dernier embarque une liste des sites identifiés (avec son outil HTTPS Finder) comme sachant fonctionner en mode sécurisé et disposant d'un certificat délivré par une autorité de certification.

HTTPS Everywhere ne peut forcer votre protection que lors de votre navigation sur des sites qui supportent HTTPS et qui figurent dans la base de données des règles d'HTTPS Everywhere, base de données qui a vocation à décroître puisque HTTPS devient obligatoire. Vous pouvez vous-même participer à HTTPS Everywhere en utilisant HTTPS Finder, le compagnon d'HTTPS Everywhere.

Nombre de sites forcés en HTTPS grace à HTTPS Everywhere :

  • Au 08.08.2011 (lancement de la versionn 1.0), il y a un peu moins de 1000 sites dans les règles de HTTPS Everywhere.
  • Au 24.02.2013 il y a plus de 6000 règles dans la base de données de la version 3 d'HTTPS Everywhere.
  • Au 13.06.2015 il y a 18.121 sites dans la base de données (abandon des règles).
  • Au 11.07.2017 il y a 59.034 sites dans la base de données.
  • Au 01.11.2017 il y a 58.318 sites dans la base de données.
  • Au 15.08.2018 il y a 59.146 sites dans la base de données.

Un Wiki, mis en place par l'EFF, donne le détail de la manière dont certains sites gèrent HTTPS et permet aux internautes de contribuer.

HTTPS Everywhere + HTTPS Finder

La base de données de HTTPS Everywhere est majoritairement constituée de sites américains, bien que la plupart d'entre eux soient des sites internationaux auxquels nous accédons également depuis les pays francophones.

Dans HTTPS Everywhere il est possible de créer des règles pour de nouveaux sites découverts, qui supportent HTTPS. Toutefois, la création de ces règles n'est pas à la portée de l'internaute « normal ».
Comment écrire des règles pour HTTPS Everywhere.

Il y avait plus simple : HTTPS Finder, un produit compagnon de HTTPS Everywhere, permettait de créer les règles automatiquement pour introduction dans la base de données d'HTTPS Everywhere. HTTPS Finder a été arrété le 4 décembre 2013, dans sa version 0.91b. Lire la page d'archive HTTPS Finder.

Avis et alertes de sécurité à propos de HTTPS EverywhereAvis et alertes : failles, vulnérabilités, compromissions dans HTTPS Everywhere

Liste des avis et alertes (Advisories and Vulnerabilities) de failles de sécurité dans HTTPS Everywhere, selon deux sources :

HTTPS Everywhere - HTTPS Everywhere

HTTPS Everywhere - HTTPS Everywhere

Réputation de eff.orgRéputation du domaine eff.orgHTTPS Everywhere