Free et le https

, par  Genma , popularité : 2%

Intérêt du https?

Le https crée une connexion chiffrée entre le navigateur et le serveur et de ce fait, personne ne voit ce qui circule dans ce tuyau : tout les logins, mots de passes et autre contenu sont chiffrés. Si on passe par un proxy d’entreprise, le proxy ne verra qu’un tunnel chiffré de la machine cliente vers le serveur. Par exemple, si on utilise Google en https, il ne verra pas les requêtes effectuées dans Google. Par contre dès que l’on sort de Google et que l’on va sur un autre site, si.

C’est aussi le https qui est utilisé quand on se connecte sur le site de sa banque ou tout autre site de paiement en ligne. Les informations (codes, identifiants, mots de passes), sont transmises de façon chiffrées et donc sécurisées.

Les mails

Certains webmails comme Gmail propose le https, mais Zimbra, le webmail de Free, tel qu’il est installé et configuré sur les serveurs de Free, ne le propose pas. C’est bien dommage. L’https n’étant pas activé, le mot de passe circule en clair. Il y a peu de chances que quelqu’un sniffe le mot de passe au moment où on le saisit, mais le risque existe. L’https pour le webmail est donc une nécessité.

A noter que le https ne sert que de tunnel entre la machine locale et le serveur de mails, mais ne protège en rien les mails. Pour ça, il y a le chiffrement des mails. Ou il y a encore la solution, plus geek, d’installer son propre serveur de mails chez soi. Mais c’est là un autre sujet.

Par contre, en mode IMAP, il est possible d’utiliser le SSL il est possible d’utiliser le SSL. Et pour le SMTP, il y a l’authentification SMTP avec sécurité de connexion en SSL (port 465) (voir Serveur d’envoi eMail (SMTP) authentifié). Tout cela ce configure très bien avec Thunderbird et permet de ne pas avoir son mot de passe qui circule en clair sur le réseau.

Le webmail est donc déconseillé, on passera par Thunderbird, correctement configuré.

La Freebox V6

Depuis la version 6 de la Freebox, celle-ci est accessible depuis l’extérieur (via une adresse du type http://adresseIP/login.php, ou http://mafreebox.free.fr en local), permettant d’accéder au Freebox OS.

Là encore, pas de https, le mot de passe circule en clair sur le réseau et ce n’est pas une bonne chose.

Les pages persos

Free ne propose pas de certificat SSL et ne permet pas de déposer un certificat que l’on aura pu créer soi-même sur le serveur, vu que l’on a aucunement accès à la configuration d’apache. Si l’on veut avoir un accès https à son serveur, on se tournera donc vers des solutions autres (auto-hébergement ou vrai hébergement).

Pourquoi Free n’active pas le https?

Il n’y a pas de communication officielle le sujet mais la cause de cette non inactivation pourrait être simple : le chiffrement coûte du temps processeur. C’est minime, mais multiplié par un certain nombres de connexions, ça commence à faire. Je peux comprendre mais je déplore quand même l’absence du https.

En conclusion

De gros progrès à faire.