HTTPS Finder détecte automatiquement et applique les connexions sous HTTPS au lieu de HTTP, chaque fois que cela est possible. HTTPS Finder fournit également la création en un seul clic de règles pour HTTPS Everywhere.

cr  23.08.2020      r+  23.08.2020      r-  08.05.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Vous pouvez toujours modifier l'adresse de la page visitée, dans la barre d'adresse de n'importe quel navigateur, pour ajouter un S au protocole habituel HTTP et tenter de communiquer avec le serveur de cette page sous le protocole sécurisé HTTPS (remplacer http:// par https://).

Si cela fonctionne, tant mieux, sinon vous obtenez un message d'erreur du type "Cette connexion n'est pas certifiée", car le protocole HTTPS oblige le site, entre autres choses, à disposer d'un certificat SSL, chose qui s'acquiert auprès d'une autorité de certification, dans une démarche commerciale (payante), ce que ne peut se permettre la majorité des webmasters de petits sites personnels.

Mais ce qui précède arrive trop tard, car la connexion s'est déjà établie sous le protocole HTTP, et vous tentez de la modifier en HTTPS après coup.

Il est préférable de vérifier, avant d'établir la connexion, si le serveur et le domaine (le site Web) acceptent le protocole HTTPS. C'est ce que fait HTTPS Finder qui intercepte tout clic sur un lien que vous souhaitez suivre et commence par tenter une connexion en HTTPS. Si, et seulement si, le serveur accepte le protocole HTTPS et renvoie un certificat SSL valide, la connexion est établie en HTTPS, sinon, le protocole HTTP est utilisé.

Le module additionnel HTTPS Finder envoie une petite requête HTTPS précédant chaque page HTTP vers laquelle vous naviguez. S'il y a une réponse, la validité du certificat SSL est vérifiée (toute erreur de certificat ne se traduira par aucune notification, et aucune autre demande de détection supplémentaires au cours de cette session). Si le certificat est valide, le protocole HTTPS est automatiquement appliqué (ceci ne peut être désactivé qu'en cas d'alerte uniquement, sans redirection), et l'utilisateur bénéficie d'une option pour enregistrer la règle générée, automatiquement, dans le module additionnel HTTPS Everywhere qu'il est vivement conseillé d'installer en compagnon de HTTPS Finder. Depuis la version 0.51 de HTTPS Finder, il est même possible (pour utilisateurs avancés uniquement) d'éditer, dans Firefox, la règle pour HTTPS Everywhere, avant de l'enregistrer.

NOTE DE SÉCURITÉ :
HTTPS Finder commence par chercher à établir une connexion sécurisée, SSL, dès que vous cliquez sur un lien ou commencez à naviguer vers une nouvelle page HTTP. Parce qu'une connexion HTTP est d'abord établie, votre cookie de session peut toujours être envoyé en clair (non chiffré) avant le basculement en SSL. Cela peut ne pas vous protéger entièrement contre les attaques de type « man-in-the-middle » (par exemple la révélation du contenu de vos cookies sur divers sites grâce à l'outil Firesheep, une extension Firefox qui illustre les attaques de détournement de session HTTP), mais permet de minimiser les chances que cela se produise.

HTTPS Finder détecte uniquement les réponses valides avec des certificats valides. Il ne garantit pas une mauvaise implémentation du protocole sécurisé SSL côté serveur.

HTTPS Finder est plus puissant lorsqu'il est utilisé côte à côte avec HTTPS Everywhere pour créer ensembles des règles adaptées à vos habitudes de navigation. Utilisé seul, c'est mieux que rien, mais avec HTTPS Everywhere il n'est plus nécessaire de commencer par établir une connexion HTTP pour vérifier si HTTPS fonctionne, pour tous les sites déjà répertoriés dans la base de données de HTTPS Everywhere. Dans ce cas, la connexion est directement établie en HTTPS.

Contre-mesures à HTTPS !

• Attaque « Homme du milieu » ("Man in the middle") - Nokia contre HTTPS et tous ses utilisateurs

  10.01.2013 - Attaque « Man In The Middle » conduite systématiquement par le fabricant de smartphones Nokia et son navigateur pour smartphones Xpress Browser contre toutes les communications en HTTPS de tous les utilisateurs de ses smartphones. La réponse laconique de Nokia laisse sans voix. En substance : "Oui, nous décryptons vos communications HTTPS, mais ne vous inquiétez pas pour cela !".

  Cela concerne toutes les communications, incluant les établissements de connexions sécurisées vers les banques, les emails chiffrés, etc. 1; 2; 3; 4.

  Déclaration du chercheur Gaurang Pandya

  « D'après les tests effectués, il est évident que Nokia effectue une attaque « Man In The Middle » sur le trafic HTTPS sensible provenant de leurs téléphones et, donc, ils ont accès à des informations en texte clair incluant les identifiants de ses utilisateurs sur divers sites tels que les réseaux sociaux, les services bancaires, les informations de carte bancaire ou tout ce qui est sensible par nature. »

  Pour un cybercriminel (ce qu'est Nokia dans cette affaire) qui se fait prendre à décrypter HTTPS, combien le font en silence, à l'insu de tous ?

  
  

• Attaque « Homme du milieu » ("Man in the middle") - sslstrip contre HTTPS

  Aucun « Permis de PC » n'existe et aucune information n'est réellement diffusée auprès des utilisateurs (les banques ont quelques pages d'informations peu accessibles et peu utiles). La raison en est qu'il n'est pas question de faire peur aux « clients » avec les risques du Web. Cela risque de freiner le développement des services sur le Web et le développement tous azimuts de l'industrie informatique. En conséquence :

  • Il est rare qu'un internaute surveille le protocole utilisé pour naviguer sur un site Internet.

  • Il est rare qu'un internaute sache ce qu'est HTTPS par rapport à HTTP.

  • Il est rare qu'un internaute sache ce qu'est un certificat d'authentification.

  Il faut pourtant bien comprendre que « Le Web, c'est dangereux ».

  Un chercheur en sécurité informatique, connu sous le pseudo de « Moxie Marlinspike », a présenté à la conférence Black Hat de février 2009, une démonstration d'une attaque relativement simple contre HTTPS. Il a compromis un dispositif (un " proxy ") se trouvant sur le chemin vers un serveur utilisant HTTPS et a remplacé à la volée le protocole HTTPS en HTTP, avec imitation de l'icône de confiance (le cadenas fermé), tout en laissant croire au serveur et au client (avec un faux certificat), que tout le trafic est en HTTPS. Les données très privées (comptes, cartes bancaires, etc. ...) envoyées par les internautes le sont en clair, sans aucun chiffrement. Il suffit de les lire, en clair, sur le proxy, tandis qu'elles transitent vers le serveur du site visité par l'internaute piégé.

  Les transparents (slides) utilisés lors de cette conférence

  Les mêmes transparents (slides) avec la bande-son de ses commentaires (en anglais) présentant son attaque, appelée sslstrip (1 h 09').

  Cette attaque est maintenue à jour (dernière modification notée : 15 mai 2011) et a son code en Open source et un développement public sur github.

• Attaque « Homme du milieu » ("Man in the middle") - Quantum contre HTTPS

  20.09.2013 - Le magazine Der Spiegel révèle que l'agence britannique de surveillance des communications espionnait, depuis 2010, le principal opérateur téléphonique belge, l'entreprise d'état Belgacom, qui a notamment comme clients la Commission Européenne, le Conseil Européen et le Parlement Européen. Sous le nom de code « Operation Socialist », le GCHQ a infiltré le réseau informatique interne de cette entreprise à l'aide de Chevaux de Troie portant le nom de « Quantum Insert ». Cette opération visait notamment la filiale BICS de Belgacom, qui a comme autres actionnaires l'opérateur suisse Swisscom et l'opérateur sud-africain Telekomkonzern. L'objectif principal de ce cyberespionnage était d'être capable de surveiller le contenu de communications de « cibles » utilisant des smartphones, grâce à une technique appelée « Man In The Middle ». Voir Prism et compagnie.

  Le 04.10.2013, le Guardian révèle, avec le support de l'expert en sécurité informatique Bruce Schneier, que la NSA (NSA - agence de l'ombre - vidéo) et le GCHQ ont déployé sur Internet un réseau secret de « serveurs » (nom de code « Quantum »), capables d'intercepter les requêtes adressées à des sites Web par des personnes ciblées. L'interception du flux est rendue possible grâce aux partenariats avec les opérateurs internet qui permettent aux agences de placer leurs serveurs aux points névralgiques du réseau internet. Ce dispositif est complété par un deuxième réseau secret de serveurs (nom de code « FoxAcid ») capables d'injecter un logiciel malveillant dans la requête internet. Ainsi, avec cette technique de détournement appelée « Man In The Middle », un internaute ciblé navigue sans se rendre compte qu'un logiciel malveillant s'est installé à son insu dans son équipement en exploitant une vulnérabilité.

Documents à lire :

• Révélations d'Edward Snowden.

• Contre-mesures à Captcha : les « Turing porn farm ».