IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Comment contourner la censure sur Internet ?


précédentsommairesuivant

XIV. HTTPS Everywhere

HTTPS Everywhere est un add-on pour Firefox produit en collaboration par The Tor Project https://www.torproject.org et Electronic Frontier Foundation https://eff.org/.

La plupart des sites sur le Web supportent le chiffrement des données via le protocole HTTPS, mais n'en facilitent pas l'utilisation, par exemple en vous connectant par défaut en HTTP, même si le protocole HTTPS est disponible. Autre exemple, en fournissant sur les pages chiffrées des liens qui vont vous rediriger vers la version non chiffrée du site. De cette manière, les données telles que les noms d'utilisateur et les mots de passe envoyés et reçus par ces sites sont transférés en clair et sont facilement lisibles par un tiers.

L'extension HTTPS Everywhere résout ces problèmes en réécrivant toutes les requêtes à ces sites en HTTPS. Même si cette extension est appelée « HTTPS Everywhere », elle active simplement HTTPS sur une liste particulière de sites qui ont choisi de supporter ce protocole. Elle ne peut en aucun cas rendre sécurisée votre connexion à un site si le site en question ne supporte pas le protocole HTTPS.

La plupart de ces sites incluent un grand nombre de contenus, comme des images ou des icônes, provenant de domaines tiers qui ne sont pas accessibles via HTTPS. Comme toujours, si l'icône indiquant le chiffrement de la connexion apparait comme cassée, ou arbore un point d'exclamation, vous demeurez vulnérables à certaines attaques utilisant des techniques actives ou de l'analyse de trafic. Néanmoins, les efforts nécessaires pour surveiller votre activité devraient être augmentés.

Certains sites, comme Gmail, proposent un support HTTPS automatique, mais l'utilisation de HTTPS Everywhere vous protègera aussi des attaques de type SSL-stripping, via lesquelles un attaquant peut cacher la version HTTPS du site aux yeux de votre ordinateur si vous commencez par vous connecter à sa version HTTP.

Des informations complémentaires à ce sujet sont disponibles à l'adresse : https://www.eff.org/https-everywhere.

XIV-A. Installation

Tout d'abord, téléchargez l'extension HTTPS Everywhere sur le site officiel : https://www.eff.org/https-everywhere. Sélectionnez la dernière version.

Dans notre exemple, c'est la version 0.9.4 de HTTPS Everywhere qui est utilisée. Il est probable qu'une version plus récente soit désormais disponible.

Image non disponible

Cliquez sur « Autoriser ». Vous devrez ensuite redémarrer Firefox en cliquant sur le bouton « Redémarrez maintenant ». HTTPS Everywhere est désormais installé.

Image non disponible

XIV-B. Configuration

Pour accéder au panneau de configuration de HTTPS Everywhere dans Firefox 4 (Linux), cliquez sur le menu Firefox en haut à gauche de votre écran et sélectionnez « Modules complémentaires ». Sous un système d'exploitation différent ou dans une autre version de Firefox, ce menu peut être situé à un emplacement différent.

Image non disponible

Cliquez sur le bouton « Options ».

Image non disponible

Une liste de tous les sites supportés où le protocole HTTPS est disponible va s'afficher. Si une règle de redirection particulière vous pose problème, vous pouvez la désactiver ici. Dans ce cas, HTTPS Everywhere ne modifiera plus la façon dont vous vous connecterez à ce site particulier.

XIV-C. Utilisation

Une fois activé et configuré, HTTPS Everywhere est transparent à l'utilisation. Essayez de taper une adresse HTTP non sécurisée, par exemple, http://www.google.com.

Image non disponible

Appuyez sur Enter, vous serez automatiquement redirigé vers le site HTTPS sécurisé (dans cet exemple : https://encrypted.google.com). Aucune autre action n'est nécessaire.

Image non disponible

XIV-C-1. Si le réseau bloque HTTPS

Votre administrateur réseau peut décider de bloquer les versions sécurisées des sites Web de façon à augmenter sa capacité à espionner ce que vous faites. Dans de tels cas, HTTPS Everywhere peut vous empêcher d'accéder à ces sites puisqu'elle force votre navigateur à utiliser la version protégée de ces sites et jamais la version non protégée. Nous avons entendu parler du réseau Wi-Fi d'un aéroport où toutes les connexions via HTTP étaient permises, mais pas les connexions en HTTPS. Peut-être que les administrateurs du réseau étaient intéressés par la surveillance de ce que faisaient les utilisateurs. Dans cet aéroport, les utilisateurs de HTTPS Everywhere n'avaient plus la possibilité d'utiliser certains sites à moins de désactiver temporairement HTTPS Everywhere.

Dans ce cas de figure, vous devriez choisir d'utiliser HTTPS Everywhere en collaboration avec une technologie de contournement telle que Tor ou un VPN afin de contourner le blocage des accès sécurisés aux sites Web.

XIV-C-2. Ajouter le support d'autres sites dans HTTPS Everywhere

Vous pouvez ajouter vos propres règles à l'extension HTTPS Everywhere pour vos sites Web favoris. Vous trouverez comment faire ceci à l'adresse : https://www.eff.org/https-everywhere/rulesets. L'avantage de procéder ainsi consiste en l'apprentissage de HTTPS Everywhere afin de s'assurer que votre accès à ces sites est sécurisé. Toutefois, HTTPS Everywhere ne vous permettra pas d'accéder à des sites de manière sécurisée si l'administrateur du site n'a pas choisi d'en permettre l'accès de cette manière. Si un site ne supporte pas le protocole HTTPS, il n'y a aucun intérêt à ajouter une règle pour ce site.

Si vous vous occupez d'un site Web et que vous avez fait en sorte que sa version HTTPS soit disponible, une bonne idée serait d'en proposer l'ajout dans la prochaine version de HTTPS Everywhere.


précédentsommairesuivant

Licence Creative Commons
Le contenu de cet article est rédigé par Auteurs multiples et est mis à disposition selon les termes de la Licence Creative Commons Attribution 3.0 non transposé.
Les logos Developpez.com, en-tête, pied de page, css, et look & feel de l'article sont Copyright © 2013 Developpez.com.