La navigation plus sécurisée avec HTTPS Everywhere… sous Firefox uniquement

La Rédaction,

En proposant l’extension HTTPS Everywhere pour Firefox, la EFF veut généraliser la navigation protégée par chiffrement à l’ensemble des services d’un site qui implémente le HTTPS.

La navigation web voit sa sécurité renforcée. Du moins sous Firefox. L’Electronic Frontier Foundation (EFF) vient de livrer la version finale 1.0 du module HTTPS Everywhere. Créée en partenariat avec le Projet Tor (de créer un Internet protégé pour garantir les libertés individuelles), cette extension vise à renforcer la navigation en ligne en forçant le chiffrement des communications lors des requêtes web afin de protéger le contenu des échanges des yeux indiscrets.

Concrètement, que ce soit pour l’intégralité ou partie de leur contenu, de nombreux sites utilisent encore par défaut le HTTP pur. Les machines qui y accèdent sont alors vulnérables, exposés à des attaques, rappelle ITespresso.fr. L’objectif de HTTPS Everywhere vise donc de mettre à profit le protocole de chiffrement HTTPS à l’ensemble des parties du site pour rendre plus sûre la navigation sur des sites comme Twitter, Facebook, Hotmail ou PayPal à coup d’encryptage SSL en 128 ou 256 bits des paquets échangés.

L’utilisation de l’extension concerne également les blogs et sites créés avec l’outil WordPress, au même titre que l’encyclopédie Wikipédia et le moteur de recherche Google. Plus d’un milliers de sites supporteraient l’extension. Mais pas Bing ni Yahoo (ou le chat de Facebook). HTTPS Everywhere supporte également Flickr, Netflix, Apple, et des sites d’informations comme NPR, The New York Times ou The Economist. Néanmoins, la navigation restera insécurisé avec les sites qui n’ont pas du tout implémenté le protocole HTTPS.

Selon l’Electronic Founder Foundation, « beaucoup de sites incluent encore des contenus piochés sur des domaines tiers, pas toujours accessibles de manière sécurisée ». HTTPS Everywhere entend sécuriser toute la connexion avec un site, y compris sur des contenus provenant de serveurs tiers ou des sites sécurisés mais faisant appel à des pages non sécurisées (HTTP). Pour l’heure, l’extension n’est disponible que pour Firefox. Mais l’EFF espère que les développeurs des différents concurrents de Firefox vont se pencher sur le projet. C’est déjà le cas de Chrome (dont l’API rend pour l’heure impossible une extension de ce type mais on peut se tourner vers le module KB SSL Enforcer) mais pas d’Internet Explorer et de Safari. Pour des raisons stratégiques de politique de sécurité, l’EFF a préféré ne pas mettre son extension sur catalogue de la fondation Mozilla (addons.mozilla.org). HTTPS Everywhere est disponible à partir de cette page.