Quand vous êtes dans un pays pratiquant la censure ou que vous avez peur d’être tracé sur internet, sachez que le contenu de vos mots-clés peut être épié par votre FAI, votre ROUTEUR ou votre PARE-FEU par exemple. C’est dans ce genre de cas que surfer sur une version HTTPS d’un site peut se révéler utile puisqu’il s’agit d’une version CHIFFREE du site brouillant les communications.
On sous-estime souvent la puissance du HTTPS. Dans notre article sur l’utillité et l’inutilité d’un VPN pour votre anonymat, nous expliquions que le HTTPS a pourtant plus d’importance qu’un VPN ou même que TOR dans certains cas !
Définition du HTTPS
Il s’agit de la version chiffrée du protocle HTTP qui permet d’accéder à un site web en empêchant que l’on vous regarde et qu’on dérobe vos communications. Même votre opérateur ignorera quelle partie du site vous êtes en train de regarder.
Dans la pratique, il suffit de taper “https://” en lieu et place de “http://” avant l’adresse du site web. 75% des sites internet utilisent ce protocole, et les plus gros sites le permettent.
Comment fonctionne le HTTPS
Le HTTPS utilise le protocole TLS (Transport Layer Security) pour sécuriser la connexion entre un navigateur web et un site web. Un protocole est simplement un ensemble de règles et d’instructions qui régissent la manière dont les ordinateurs communiquent entre eux. Le protocole TLS est l’épine dorsale de la sécurisation des connexions en ligne. Il vous permet d’entrer vos identifiants de connexion, de naviguer sur des sites web ou d’effectuer des opérations bancaires en ligne sans que d’autres personnes n’en voient le contenu.
Le TLS utilise une cryptographie à clé privée.
Une clé est un code pour les ordinateurs impliqués dans la transmission de messages, et une clé privée est une clé qui n’est pas ouverte au public.
Pour garantir l’intégrité de leur connexion, votre navigateur et le serveur internet s’allient en partageant une clé publique. Une fois cette communication établie, le serveur et le navigateur négocient des clés privées pour crypter votre connexion. Chaque connexion génère sa propre clé privée unique, et la connexion est chiffrée avant qu’un seul octet de données ne soit transmis. Une fois le cryptage en place, les intrus ne peuvent plus surveiller ni modifier les communications entre le navigateur et le site web sans être détectés.
Qu’est-ce qu’une requête DNS ?
Le système de noms de domaine traduit des URL conviviales pour l’homme en adresses IP numériques que les ordinateurs peuvent comprendre. Par exemple, pour visiter notre site, vous tapez l’URL desgeeksetdeslettres.com, mais votre ordinateur la voit peut-être comme [977.88.51.156]. Pour trouver ce numéro, votre navigateur utilise ce que l’on appelle un résolveur DNS, qui est généralement fourni par votre fournisseur d’accès internet. Considérez ce résolveur comme un acolyte qui se précipite pour traduire l’URL du site que vous souhaitez visiter en son adresse IP.
Votre requête DNS n’est pas chiffrée. Un intrus peut observer vos requêtes DNS et les réponses de votre résolveur DNS. Cela nous amène à la première attaque que vous pourriez subir si vous utilisez le WiFi public sans VPN : les fuites DNS.
Est-il utile de se rendre sur la version HTTPS d’un site si j’utilise un proxy ou un VPN ?
En utilisant un VPN (ici notre avis sur Nordvpn), ce dernier sera le seul à pouvoir accéder au contenu de votre surf, mais votre FAI, lui, ne pourra pas savoir ce que vous faîtes.
Utiliser un site en version HTTPS permettra de bloquer ce contenu auprès de votre VPN / proxy / réseau TOR. Même si vous avez confiance en ces derniers, ils peuvent eux-mêmes subir un moyen de pression de la part d’un gouvernement ou de la justice dans des cas bien particuliers. Et alors ils devront révéler le contenu de votre surf s’ils ne sont pas situés dans un paradis fiscal. Si vous utilisez le protocole HTTPS sur un site qui l’autorise, alors même ce VPN subira le cryptage.
Pourquoi les sites rendent l’accès HTTPS si difficile ?
C’est la question que je me pose quand je constate que certains sites autorisent le protocole HTTPS tout en rendant leur accès difficile : il s’agit parfois de liens cachés, difficiles à trouver, et qui obligent à passer et re-passer par des liens au protocole HTTP… Pas très pratique tout ça.
C’est pourquoi je vous conseille très fortement une extension disponible pour Chrome / Firefox / Opera / Brave / Tor (pas encore pour iOS) et qui vous fait surfer automatique sur la version HTTPS des sites sur lesquels vous vous rendez. Elle se charge de chercher les urls adéquats et de vous proposer un surf le plus sécurisé possible.
Cette extension s’appelle HTTPS Everywhere et est disponible à cette adresse
https://www.eff.org/https-everywhere/
Comme il l’explique à cette adresse, eff.org milite contre l’espionnage de masse effectué par la NSA américaine.
Le protocole HTTPS peut-il empêcher les virus sur une page web ?
Oui, puisque lorsque le HTTPS n’est pas activé, votre opérateur, FAI, etc. peut très bien enregistrer ce que vous faîtes sur internet et même modifier le contenu de la page web que vous visitez : il pourrait en profiter pour supprimer certains contenus censurés ou y insérer des logiciels malveillants comme des virus.
Si vous n’utilisez pas le protocole HTTPS sur les réseaux sociaux où vous avez créé des comptes, vous êtes susceptibles d’être victime du programme FIRESHEEP qui a été créé justement pour prendre le contrôle des comptes sur des réseaux sociaux encore en HTTP…
Certains gouvernements peuvent facilement modifier les pages de connexion des réseaux sociaux afin d’espionner vos mots de passe, grâce à un logiciel espion inséré dans la page web de connexion. Cela peut être fait aussi par n’importe quel opérateur (voir ici l’exemple de la Tunisie il y a 3 ans), par contre les utilisateurs optant pour la page de connexion en HTTPS sont protégés 🙂
Lectures complémentaires
| L’article de Mimie sur les différentes méthodes de censure |
| Les 6 technologies de sécurité qui vont émerger en 2020 |
| L’attaque par force brute dite “Credential Stuffing” |
Utiliser un VPN est-il utile sur un site HTTPS ?
Name: L'intérêt d'un VPN en plus du HTTPS
Description: Même si vous visitez un site légitime dont le HTTPS est correctement appliqué, il peut contenir des images ou des scripts provenant de sites non protégés par le HTTPS. Un attaquant pourrait utiliser ces scripts et ces images pour diffuser des logiciels malveillants sur votre appareil. Un VPN fiable peut vous protéger contre ces vulnérabilités. Un VPN chiffre votre trafic et le fait passer par un serveur VPN, ce qui signifie que votre fournisseur d'accès à internet (ou le propriétaire d'un point d'accès WiFi malveillant) ne peut pas surveiller votre activité en ligne. Ce cryptage supplémentaire protége votre connexion contre une attaque de type TLS downgrade. Une autre chose à considérer à propos du cryptage https est qu'il ne fait que chiffrer votre trafic web. Toute autre activité sur internet n'est pas touchée par le protocole https et nécessite donc son propre cryptage. Parmi les exemples d'autres activités, on peut citer les jeux vidéo en ligne, votre mot de passe et même les informations de votre carte de crédit en clair, une messagerie ou un programme de comptabilité exécuté localement.
Book Author: Mallory Lebel
Provider: Des Geeks et des lettres
Provider Logo: 
il est génial ce site
Hé ! Merci 🙂