HTTPS Everywhere

, par  Genma , popularité : 4%

Présentation

Sur le site officiel de HTTPS everywhere, on peut trouver la présentation suivante :

Cette extension Firefox a été inspiré par le lancement de l’option de recherche de Google cryptée. Nous voulions un moyen de s’assurer que toutes les recherches de nos navigateurs envoyé a été chiffré. Dans le même temps, nous avons également été en mesure de chiffrer la plupart ou l’ensemble des communications du navigateur avec d’autres sites :
 Recherche Google
 Wikipédia
 Twitter et Identi.ca
 Facebook
 FEP et Tor
 Ixquick, DuckDuckGo, Scroogle et d’autres moteurs de recherche de petites
Et beaucoup plus !

Comme toujours, même si vous êtes à une page HTTPS, n’oubliez pas que si Firefox affiche une barre d’adresse de couleur et une icône de cadenas dans le coin en bas à droite, la page n’est pas entièrement cryptée et vous peut-être encore vulnérables à diverses formes de écoute ou de piratage (dans de nombreux cas, HTTPS Partout ne peut pas empêcher cela parce que l’insécurité sites incorporer le contenu de tiers). Source

L’avis du Genma

Cette extension a provoqué une grande confusion dans les personnes s’intéressant au chiffrement sur Internet et la communication n’a pas dû être faîte de façon efficace... Beaucoup de personnes ont pensées que cette extension chiffrait la connexion. Il n’en est rien.

Cette extension force l’utilisation d’une connexion chiffrée lorsque c’est possible. C’est à dire que si un site propose une connexion https (généralement non proposée par défaut sauf pour certains sites particuliers comme les sites de banques etc., car le chiffrement demande un peu plus de ressources au serveur), la connexion fera qu’on se connectera par défaut via https et non via http. Pour cela, il faut que le site soit référencé dans les options de l’extension comme proposant une connexion https. Mais il est possible d’ajouter d’autres sites de façon assez simple.

Et quel est l’intérêt de se connecter en https sur un maximum de sites, comme Twitter, Facebook, Google ou autres... Comme je le disais dans ma rapide critique de l’annonce de la sortie de Google en https, tout ce qui est passé au site web (donc toute la connexion) est chiffrée. De même que l’on ne souhaite pas que ce que l’on envoie à un site de banque soit vu, on peut souhaiter que ce l’on veut envoyer à Google, Twitter ou autre.

Si on est derrière un proxy d’entreprise, l’entreprise verra que l’on se connecte à un compte Twiter vu que l’adresse url de twitter pourra être enregsitrée par le proxy, mais elle ne connaîtra pas le compte (ni l’identifiant, ni le mot de passe), ni le contenu des twitts. (il faut bien sûr, ne s’être jamais connecté en http tout court sinon on retrouvera la trace de l’identifiant associé à notre machine dans les logs) Et ce sera valable pour une connexion à un webmail, à un forum... A tout site qui proposera une connexion en https. On n’aura aucune possibilité de savoir ce que vous publiez. Reste alors la solution de bloquer les dits sites... Mais le contenu ne filtrera pas.

L’intérêt de cette extension est d’automatisée l’utilisation d’https pour ne pas oublier. Et c’est une bonne chose, je trouve. Non ?