Free et le https
27 octobre 2013 09:00 6 messagesIntérêt du https?
Le https crée une connexion chiffrée entre le navigateur et le serveur et de ce fait, personne ne voit ce qui circule dans ce tuyau : tout les logins, mots de passes et autre contenu sont chiffrés. Si on passe par un proxy d’entreprise, le proxy ne verra qu’un tunnel chiffré de la machine cliente vers le serveur. Par exemple, si on utilise Google en https, il ne verra pas les requêtes effectuées dans Google. Par contre dès que l’on sort de Google et que l’on va sur un autre site, si.
C’est aussi le https qui est utilisé quand on se connecte sur le site de sa banque ou tout autre site de paiement en ligne. Les informations (codes, identifiants, mots de passes), sont transmises de façon chiffrées et donc sécurisées.
Les mails
Certains webmails comme Gmail propose le https, mais Zimbra, le webmail de Free, tel qu’il est installé et configuré sur les serveurs de Free, ne le propose pas. C’est bien dommage. L’https n’étant pas activé, le mot de passe circule en clair. Il y a peu de chances que quelqu’un sniffe le mot de passe au moment où on le saisit, mais le risque existe. L’https pour le webmail est donc une nécessité.
A noter que le https ne sert que de tunnel entre la machine locale et le serveur de mails, mais ne protège en rien les mails. Pour ça, il y a le chiffrement des mails. Ou il y a encore la solution, plus geek, d’installer son propre serveur de mails chez soi. Mais c’est là un autre sujet.
Par contre, en mode IMAP, il est possible d’utiliser le SSL il est possible d’utiliser le SSL. Et pour le SMTP, il y a l’authentification SMTP avec sécurité de connexion en SSL (port 465) (voir Serveur d’envoi eMail (SMTP) authentifié). Tout cela ce configure très bien avec Thunderbird et permet de ne pas avoir son mot de passe qui circule en clair sur le réseau.
Le webmail est donc déconseillé, on passera par Thunderbird, correctement configuré.
La Freebox V6
Depuis la version 6 de la Freebox, celle-ci est accessible depuis l’extérieur (via une adresse du type http://adresseIP/login.php, ou http://mafreebox.free.fr en local), permettant d’accéder au Freebox OS.
Là encore, pas de https, le mot de passe circule en clair sur le réseau et ce n’est pas une bonne chose.
Les pages persos
Free ne propose pas de certificat SSL et ne permet pas de déposer un certificat que l’on aura pu créer soi-même sur le serveur, vu que l’on a aucunement accès à la configuration d’apache. Si l’on veut avoir un accès https à son serveur, on se tournera donc vers des solutions autres (auto-hébergement ou vrai hébergement).
Pourquoi Free n’active pas le https?
Il n’y a pas de communication officielle le sujet mais la cause de cette non inactivation pourrait être simple : le chiffrement coûte du temps processeur. C’est minime, mais multiplié par un certain nombres de connexions, ça commence à faire. Je peux comprendre mais je déplore quand même l’absence du https.
En conclusion
De gros progrès à faire.
Dans la même rubrique
14 février 2020 – KeepassXC - Faire des phrases de passe
7 septembre 2016 – Keepass au quotidien c’est possible
18 août 2016 – Une de mes clef GPG révoquée était une fausse
4 mars 2016 – Tails et Volume persistant
30 juillet 2015 – Calomel SSL Validation
6 Messages
Free et le https, galex-713 | 28 octobre 2013 - 17:22 1
C’est une des raisons pour lesquelles le concept de webmail est pourri, mais vraiment pourri. Mais alors en HTTP non sécurisé… non là c’est intolérable…
D’ailleurs ça me rappelle que ton blog est pas disponible en HTTPS hein :p Pour un cryptoanarchiste, c’est un peu… tu vois :p T’as pensé à t’auto-héberger ?
Free et le https, Brihx | 30 octobre 2013 - 08:23 2
Le HTTPS fonctionne pour le Zimbra de Free, il n’est simplement pas actif par défaut.
L’adresse suivante fonctionne :
https://zimbra.free.fr/
Brihx
Free et le https, Jean-Luc | 30 novembre 2017 - 11:11 3
J’avais cru comprendre que le HTTPS aller être "obligatoire" en 2018 et que les navigateurs allaient progressivement "obliger" a y passer. Que peut-on faire pour que FREE propose une solution ? Est-ce que FREE ne veut plus héberger de site ?
Free et le https, magnum | 14 janvier 2018 - 18:01 4
Oui ça urge
Free devrait se mettre à la page et nous offrir la sécurité.
Free et le https, COULET | 4 juin 2018 - 21:22 5
Nous venons de recevoir le message pour la protection des données. C’est obligatoire et tous les sites le font ! Mais je vois que l’URL envoyée (http://www.free.fr/pdf/Politique_de_confidentialite_des_donnees_FREEBOX.pdf) n’est pas en HTTPS. Il serait temps que FREE s’y mette ! que peut-on faire pour les inciter à le proposer ? Est-ce parcequ’ils veulent pas avoir de certificat à payer ?
Jluc
Free et le https, t | 3 janvier 2021 - 17:22 6
Les certificats Lets Encrypt (https://letsencrypt.org/) sont gratuits