Augmentez la protection de votre navigation avec HTTPS Everywhere

Représentation du protocole HTTPS dans une url

HTTPS, le protocole à utiliser autant que possible pour crypter vos données et préserver votre vie privée (Fabio Lanari, CC0)

À l’heure où les activités des internautes sont surveillées par des programmes à la limite de la légalité par des agences de renseignement de nombreux pays (démocratiques comme dictatoriaux), il devient nécessaire de préserver notre vie privée sur Internet. Les différents sites sur lesquels nous naviguons permettent à des personnes tierces de connaître notre personnalité dès qu’elles interceptent les informations que nous transmettons sur le réseau. Pour empêcher ce type d’interception extérieure, il est nécessaire d’utiliser autant que possible le protocole HTTPS.

HTTP et HTTPS : quelle différence ?

Le HTTP (HyperText Transfer Protocol) est le protocole de communication utilisé pour le web (et non pour Internet qui est un ensemble de d’applications, gérées par des protocoles différents comme IRC pour le tchat). C’est grâce à ce protocole, dit client-serveur, que vous pouvez vous connecter et échanger des informations sur le web, à l’aide d’un client HTTP qui n’est autre que votre navigateur web (Firefox, Chrome, Opera…) et qui transmet des requêtes à des serveurs HTTP et reçoit les réponses de ces derniers. C’est par ce processus que vous accédez à des pages de sites web. Le HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole HTTP ; elle combine le protocole HTTP à une couche de chiffrement, comme SSL. Le HTTPS vous permet par rapport au HTTP de vérifier l’identité du site web auquel vous accédez par le biais d’un certificat d’authentification délivré par une organisation tierce et fiable, et vous permet également d’assurer la confidentialité des données que votre client transmet au serveur HTTP.

Quel intérêt me diriez-vous à chiffrer les données de notre navigation à partir du moment où l’on a rien à cacher ? Tout simplement à préserver vos données privées de toute organisation honnête comme malhonnête. Avec le protocole HTTP, vous transférez vos données en clair, cela signifie qu’elles peuvent être interceptées et lues par n’importe quelle personne présente sur le réseau ; le protocole HTTPS crypte ces données et empêche ces interceptions. Vous utilisez déjà HTTPS lorsque vous effectuez des achats en ligne ou quand vous faîtes des opérations sur vos comptes sur le site web de votre banque. Sans HTTPS pour ces opérations, n’importe qui pourrait intercepter vos données et récupérer le code et le numéro de votre carte bleue, ou encore votre adresse postale ou pire, accéder et vider vos comptes en banque. Votre navigation sur le web permet de connaître vos goûts et par extension votre personnalité ; l’historique d’une navigation web en dit plus long sur vous que n’importe quelle biographie que l’on pourrait rédiger à votre sujet. Si des personnes ont le pouvoir de savoir ce que vous aimez et ce que vous pensez, elles ont le pouvoir de vous contrôler et de vous surveiller. Le protocole HTTPS permet de crypter votre navigation et donc d’empêcher ces personnes de voir ce que vous faîtes sur le réseau.

Renforcer le chiffrement avec HTTPS Everywhere

La plupart des sites majeurs, comme Google, ont activé par défaut la connexion par le protocole HTTPS. Cependant, ces connexions cryptées ne sont pas parfaites (certaines pages en HTTPS contiennent des liens vers des pages du même site en HTTP) et la majorité des sites web sont encore en HTTP. Pour renforcer le chiffrement et permettre une navigation sécurisée au sein d’un même site web, quel que soit le lien sur lequel vous cliquez, l’usage du plugin HTTPS Everywhere est recommandée. Fruit d’une collaboration entre l’Electronic Frontier Foundation (EFF) et le projet Tor, cette extension pour les navigateurs Firefox et Chrome permet de réécrire les requêtes HTTP faîtes vers certaines pages des sites majeurs où le protocole HTTPS est activé en HTTPS. Ainsi, si à la base vous deviez accéder en clair vers une page, vous y accéderez de manière cryptée. Une nouvelle icône apparaîtra dans la barre de tâches de votre navigateur où le plugin vous indiquera les différents domaines présents sur la page où vous vous trouvez (le site et les services inclus) sur lesquels la connexion chiffrée s’applique.

Par ailleurs, le plugin inclus également une fonctionnalité vous permettant d’envoyer les certificats d’authentification des sites que vous visitez à l’observatoire SSL de l’EFF. Cela permet à la fois d’améliorer la sécurité globale d’Internet en leur permettant de voir les attaques faîtes à l’encontre de HTTPS (certaines organisations ou pays n’ont aucun intérêt à voir les internautes crypter leurs données de navigation) et aussi de leur permettre de mieux vous renseigner à propos des connexions non sécurisées et des attaques éventuelles qui peuvent être menées sur votre navigateur. La confidentialité du certificat permettra à l’observatoire de savoir que quelqu’un a visité un site web, mais n’indiquera pas qui a visité ce site et quelles pages de ce site ont été visitées par l’internaute en question.

Les limites du chiffrement et du plugin

Bien entendu, HTTPS Everywhere ne va pas vous chiffrer toutes vos connexions et régler tous les problèmes liés aux connexions non sécurisées. La chose primordiale à savoir est que HTTPS Everywhere ne fonctionne que sur les sites où HTTPS est activé (sans qu’il soit forcement activé par défaut). Lorsque vous installez le plugin, une liste des différents domaines où le logiciel peut s’activer vous est présentée ; vous pouvez choisir d’activer ou de désactiver le plugin pour tel ou tel domaine. Par ailleurs, la connexion en HTTPS empêche une personne tierce de consulter vos données de navigation, mais cela n’empêche pas le site où vous vous trouvez de récupérer des informations à votre sujet. Ainsi, lorsque vous êtes connecté aux services de Google, une personne extérieure ne peut pas savoir ce que vous faîtes sur ces services, mais Google le sait par le biais de ses cookies et continuera à vous proposer des pubs en fonction de ce que vous consultez par le biais de ses services. Par ailleurs, il existe certains pays comme la Chine ou l’Iran où le protocole HTTPS est bloqué, ce qui empêche son utilisation et oblige d’utiliser le protocole HTTP.

En conclusion, HTTPS Everywhere n’est pas le produit miracle qui sécurise à 100 % votre navigation, mais il vous permet d’augmenter cette sécurisation et permet plus de transparence quant à la confiance à accorder au niveau des différents services de connexion sécurisée qui vous sont proposés.

Liens utiles

Licence Creative Commons
Cette œuvre de Juraastro est mise à disposition selon les termes de la licence Creative Commons Attribution – Partage dans les Mêmes Conditions 3.0 non transposé.

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s