HTTPS Everywhere : l'EFF chiffre les communications de Firefox avec une extension

Julien L. - publié le Vendredi 18 Juin 2010 à 12h48 - posté dans High-Tech

L'EFF a dévoilé hier, en partenariat le Projet Tor, une extension Firefox destinée à chiffrer les communications entre le navigateur et un site web. Selon l'ONG, l'idée est issue de la mise en place du chiffrement des recherches web par Google.

Fin mai, Google introduisait le chiffrement des recherches web, en proposant aux internautes qui le souhaitent de faire transiter les requêtes via un serveur SSL. Cette solution, déjà en place sur certains services du géant américain comme la messagerie, a l'avantage de renforcer la confidentialité et la sécurité de la navigation en empêchant des tiers de connaitre la nature des recherches.

Mais comme nous l'expliquions alors, si les tiers seront privés de ces informations, Google aura toujours accès aux données de connexion et à l'historique de recherche tant que l'internaute utilisera sa solution de chiffrement SSL. Car l'objectif ici n'est pas d'anonymiser totalement les requêtes.

L'idée a pourtant fait des émules. En effet, l'Electronic Frontier Foundation a annoncé sur son site web s'être inspiré de Google pour proposer à son tour une solution de chiffrement. En partenariat avec le Projet Tor, l'organisation non-gouvernementale a dévoilé une extension Firefox, HTTPS Everywhere, dédiée au chiffrement des données.

"Cette extension Firefox a été inspirée par le lancement de l'option de recherche chiffrée de Google. Nous voulions un moyen de s'assurer que chacune des recherches envoyées depuis nos navigateurs soit chiffrée. En parallèle, nous avons également été en mesure de chiffrer la majorité des communications entre les navigateurs et certains sites" explique l'EFF.

Et de citer pour l'occasion Wikipedia, Twitter, Identi.ca (une alternative libre de Twitter), Facebook, Google Search, l'EFF, Tor, Ixquick, DuckDuckGo, Scroogle et "d'autres moteurs de recherche de moindre envergure". Les possesseurs de Firefox pourront récupérer l'extension sur cette page.

Pour mémoire, le chiffrement SSL se traduit par une adresse commençant par HTTPS au lieu de HTTP et la présence d'une icône en forme de cadenas sur le navigateur. Certains navigateurs, comme Firefox, utilisent même un code couleur (bleu ou vert) pour bien marquer la différence entre une connexion SSL et une connexion plus classique.

Toutefois, si le chiffrement SSL est une avancée, ce n'est pas pour autant une solution invulnérable. L'EFF rappelle que "la page n'est pas entièrement chiffrée et que l'utilisateur peut être vulnérable à diverses formes d'attaques".
Publié par Julien L., le 18 Juin 2010 à 12h48
 
 
24
Commentaires à propos de «HTTPS Everywhere : l'EFF chiffre les communications de Firefox avec une extension»
 

1
2
C'est dommage que l'API des extensions de Chroniumm ne soit pas au niveau de celle de Firefox: je me serais bien installe cette extension sur chacun des eux
Ca peut être pas mal mais ce que je n'ai pas réussi à trouver où on désactive certains sites (j'ai essayé il y a quelques temps aussi), par exemple je n'aime pas que par défaut wikipedia soit en https, ça leut bouffe énormément de ressources et je ne suis pas encore un dissident politique traqué par pleins de méchants.
Sinon pour les autres sites ça peut être pas mal.

EDIT : c'est maintenant clair, on peut éditer les rêgles de redirection ! :biggrinthumb:
Plus d'info sur les rêgles (n'oubliez pas de désactiver Wikipedia si ce n'est pas indispensable !)
A part pour emmerder les grandes oreilles telle l'Hadopi, l'intérêt reste limité.
Mais bon, plus il y aura de systèmes qui entraveront le flicage qu'il vienne d'Hadopi, de l'ACTA ou de LOPSI, mieux ce sera.
Le temps que ces saletés se mettent en place, l'internaute aura toute un panoplie d'outils pour rester anonyme.
y avait aussi un projet dans ce type, proseus, je crois , ca chiffrait pas mais ca bruitait .
à voir de plus pret ;) tout est bon à prendre
A part pour emmerder les grandes oreilles telle l'Hadopi, l'intérêt reste limité.


Rien que pour ça c'est déjà merveilleux !
Ouais, ils ont réinventé HTTPS! Bravo, plus qu'à réinventer la roue!
en meme temps, google fait un effort contrairement au autres et on crache encore dessus , c'est comme si je voulais poster sur ce forum mais que l'admin ne sache pas que c'est moi ... c'est con
intéressant à mon avis ça va surtout servir à voir du porn au bureau !!!
y avait aussi un projet dans ce type, proseus, je crois , ca chiffrait pas mais ca bruitait .
à voir de plus pret ;) tout est bon à prendre
Perseus peut être ? https://addons.mozil...ox/addon/45357/

A part pour emmerder les grandes oreilles telle l'Hadopi, l'intérêt reste limité.
Mais bon, plus il y aura de systèmes qui entraveront le flicage qu'il vienne d'Hadopi, de l'ACTA ou de LOPSI, mieux ce sera.
Le temps que ces saletés se mettent en place, l'internaute aura toute un panoplie d'outils pour rester anonyme.
Ca évite que les FAI fouillent dans les données échangées (ils ont le droit depuis qu'on les oblige à les garder, ils vendent tout ça à des gens qui nous fichent et vendent ça à des trucs de pub).

en meme temps, google fait un effort contrairement au autres et on crache encore dessus , c'est comme si je voulais poster sur ce forum mais que l'admin ne sache pas que c'est moi ... c'est con
Comme ça Google aura le monopole de la vie privée des gens, ils n'auront même plus à partager !

Quand auront nous numerama en https ? https://www.numerama.com/


(tapez pas je sait que je ne paie pas le serveur)
En https ont va sur ce serveur :


IP address: 209.85.227.147
Reverse DNS: wy-in-f147.1e100.net.
Reverse DNS authenticity: [Verified]
ASN: 15169
ASN Name: GOOGLE
IP range connectivity: 0
Registrar (per ASN): ARIN
Country (per IP registrar): US [United States]
Country Currency: USD [United States Dollars]
Country IP Range: 209.84.0.0 to 209.85.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): -- []
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Link for WHOIS: 209.85.227.147

Soit :

OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US

NetRange: 209.85.128.0 - 209.85.255.255
CIDR: 209.85.128.0/17
NetName: GOOGLE
NetHandle: NET-209-85-128-0-1
Parent: NET-209-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.GOOGLE.COM
NameServer: NS2.GOOGLE.COM
NameServer: NS3.GOOGLE.COM
NameServer: NS4.GOOGLE.COM
Comment:
RegDate: 2006-01-13
Updated: 2006-06-01

En passant par :

100*0.4 ms
174.133.202.225 AS21844
THEPLANET-AS e1.ca.85ae.static.theplanet.com. 255USUnix: 13:45:01.213
200*0.4 ms [+0ms]
74.55.252.121 AS21844
THEPLANET-AS po10.dsr02.hstntx2.theplanet.com. 0 miles [+0] 254USUnix: 13:45:01.242
300*0.4 ms [+0ms]
216.185.110.18 AS21844
THEPLANET-AS [Missing reverse DNS entry] 0 miles [+0] 249USUnix: 13:45:01.411
86**6.1 ms [+0ms]


On tourne en rond Google sait ce que vous demandez, normal, il évite qu’une personne qui sniff vos paquets arrive facilement à savoir sur quoi porte votre recherche, mais de qui faut se méfier, si ce n’est de Google lui-même ? Qui est ce ThePlanet.com Internet Services, Inc ? Encore un serveur au USA, bof ! Sans être parano, il faut avoir confiance….
HellFuret, le 18/06/2010 - 14:58
en meme temps, google fait un effort contrairement au autres et on crache encore dessus , c'est comme si je voulais poster sur ce forum mais que l'admin ne sache pas que c'est moi ... c'est con
Oui c'est vrai que Google fait des efforts mais la seule chose qu'on peut leurs reprocher c'est les données vis à vis de la vie privée à part ça je ne leurs reproche rien contrairement à Facebook qui se moque complètement de leurs utilisateurs
tomy13, le 18/06/2010 - 16:00
En https ont va sur ce serveur :


IP address: 209.85.227.147
Reverse DNS: wy-in-f147.1e100.net.
Reverse DNS authenticity: [Verified]
ASN: 15169
ASN Name: GOOGLE
IP range connectivity: 0
Registrar (per ASN): ARIN
Country (per IP registrar): US [United States]
Country Currency: USD [United States Dollars]
Country IP Range: 209.84.0.0 to 209.85.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): -- []
Private (internal) IP? No
IP address registrar: whois.arin.net
Known Proxy? No
Link for WHOIS: 209.85.227.147

Soit :

OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US

NetRange: 209.85.128.0 - 209.85.255.255
CIDR: 209.85.128.0/17
NetName: GOOGLE
NetHandle: NET-209-85-128-0-1
Parent: NET-209-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.GOOGLE.COM
NameServer: NS2.GOOGLE.COM
NameServer: NS3.GOOGLE.COM
NameServer: NS4.GOOGLE.COM
Comment:
RegDate: 2006-01-13
Updated: 2006-06-01

En passant par :

100*0.4 ms
174.133.202.225 AS21844
THEPLANET-AS e1.ca.85ae.static.theplanet.com. 255USUnix: 13:45:01.213
200*0.4 ms [+0ms]
74.55.252.121 AS21844
THEPLANET-AS po10.dsr02.hstntx2.theplanet.com. 0 miles [+0] 254USUnix: 13:45:01.242
300*0.4 ms [+0ms]
216.185.110.18 AS21844
THEPLANET-AS [Missing reverse DNS entry] 0 miles [+0] 249USUnix: 13:45:01.411
86**6.1 ms [+0ms]


On tourne en rond Google sait ce que vous demandez, normal, il évite qu'une personne qui sniff vos paquets arrive facilement à savoir sur quoi porte votre recherche, mais de qui faut se méfier, si ce n'est de Google lui-même ? Qui est ce ThePlanet.com Internet Services, Inc ? Encore un serveur au USA, bof ! Sans être parano, il faut avoir confiance….
+1
vincedra, le 18/06/2010 - 19:02
HellFuret, le 18/06/2010 - 14:58
en meme temps, google fait un effort contrairement au autres et on crache encore dessus , c'est comme si je voulais poster sur ce forum mais que l'admin ne sache pas que c'est moi ... c'est con
Oui c'est vrai que Google fait des efforts mais la seule chose qu'on peut leurs reprocher c'est les données vis à vis de la vie privée à part ça je ne leurs reproche rien contrairement à Facebook qui se moque complètement de leurs utilisateurs
Moi je leur reproche de sniffer les réseaux wifi et de récolter les mots de passe.
Ouais, ils ont réinventé HTTPS! Bravo, plus qu'à réinventer la roue!
Ce n'est pas aussi simple que ça. Le remplacement du http par https se fait de façon transparente sans que l'utilisateur ait à s'en soucier (du moins pour les sites gérés par cette extension) et cela s'avère indispensable pour la confidentialité lorsque les pages provenant d'un site sécurisé contiennent des liens vers la version non sécurisée du site (ce qui est fréquent avec les images, les pubs, ...).
oui, l'inconvénient de ce système c'est qu'il fait transiter nos données par des endroits qu'on ne maitrise pas. pas encore l'idéal donc.
mieux vaut visiter directement les pages en https au lieu de http, mais hélas peu de sites semblent implémenter ssl. c'est pourtant pas compliqué a mettre en place.... avis aux webmasters!
àa fait un moment que je cherchais une extension de ce type. En revanche, je suis surpris du buzz qui tourne autour (une extension qui modifie les URLs à la volée, ça existait déjà bien avant). De plus, je me demande pourquoi elle n'est pas répertoriées sur https://addons.mozilla.org. Mais bon.

Ceci dit, elle a l'air franchement bien faite, et la personnalisation des règles est très simple quand on connait le XML et les Regex. J'en ai déjà fait quelques-unes (LinuxFR, la console de gestion Free, SixXS, le moodle de mon école ^^). Quelqu'un sait s'il y a un site officiel où les uploader ? (au pire je les mets sur mon propre site, mais elles ne seront franchement pas visibles)
kankan, le 19/06/2010 - 00:03
[...] la personnalisation des règles est très simple quand on connait le XML et les Regex. J'en ai déjà fait quelques-unes (LinuxFR, la console de gestion Free, SixXS, le moodle de mon école ^^).
La difficulté n'est pas de faire des règles mais d'être sûr qu'elles couvrent l'intégralité des urls du site (ne pas oublier les sous-domaines) tout en permettant un bon fonctionnement.

Convertir des "http://www.merdouille.fr/" en "https://www.merdouille.fr/" est facile mais il faut aussi savoir si dans quelques pages on n'utilise pas des "http://images.merdouille.fr/"... (et ensuite il faut qu'un service https existe dans ce cas)
Croux, le 19/06/2010 - 01:27
kankan, le 19/06/2010 - 00:03
[...] la personnalisation des règles est très simple quand on connait le XML et les Regex. J'en ai déjà fait quelques-unes (LinuxFR, la console de gestion Free, SixXS, le moodle de mon école ^^).
La difficulté n'est pas de faire des règles mais d'être sûr qu'elles couvrent l'intégralité des urls du site (ne pas oublier les sous-domaines) tout en permettant un bon fonctionnement.

Convertir des "http://www.merdouille.fr/" en "https://www.merdouille.fr/" est facile mais il faut aussi savoir si dans quelques pages on n'utilise pas des "http://images.merdouille.fr/"... (et ensuite il faut qu'un service https existe dans ce cas)
Oui, en effet... Mais la plupart du temps, la méthode simple fonctionne très bien (LinuxFR et Free par exemple, ou la console est suffisemment bien fichu pour que si tu te connecte en HTTPS, tu y reste durant toute ta session).

Et pour les sous domaines genre "static.merdouille.com" ou "images.merdouille.com", il n'y a pas de HTTPS, car en général il ne peut y avoir qu'un certificat par coupe IP/port, et ces sous-domaines sont en général sur le même serveur avec les ports par défaut.

Enfin, l'essentiel c'est de protéger l'authentification et les ID de sessions. Si on a un sous-domaine non sécurisé pour servir le contenu statique, c'est beaucoup moins critique qu'un mot de passe transitant en clair (ou un ID de session). Bon, il faut aussi que les cookies soient créé uniquement pour ce domaine et pas les sous-domaines non protégés aussi.
kankan, le 19/06/2010 - 01:45
Et pour les sous domaines genre "static.merdouille.com" ou "images.merdouille.com", il n'y a pas de HTTPS, car en général il ne peut y avoir qu'un certificat par coupe IP/port, et ces sous-domaines sont en général sur le même serveur avec les ports par défaut.
Il n'y a techniquement aucun problème a utiliser le même certificat pour des sous-domaines, car un certificat peut contenir des noms alternatifs au sujet (contenant le distinguished name généralement unique lui, et qui inclue le common name comme nom de domaine). On peut aussi bien y déclarer plusieurs adresses IP (IP:1.2.3.4,IP:5.6.7.8) que d'autres noms (DNS:supermerdouille.fr), et même utiliser le caractère étoile pour faire référence à tous les sous domaines possibles (DNS:*.merdouille.fr)

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Urban Terror
Tir subjectif (FPS) - La guerilla urbaine sur Quake III
 
Folder Size
Exploreurs de fichiers - Ajoutez des informations à votre explorateur Windows.
 
PouetChess
Réflexion - Un jeu d'échecs particulier
 
GrabIt
Téléchargeurs et aspirateurs - Téléchargements sur Newsgroups
 
Porn Movie Grabber
Capture et enregistrement - Télécharger des films pornographiques
 
Juin 2010
 
Lu Ma Me Je Ve Sa Di
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 1 2 3 4
5 6 7 8 9 10 11
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC