L'EFF lance une campagne destinée à soutenir la généralisation du chiffrement sur le web. L'ONG américaine souhaite simplifier l'obtention des certificats d'authentification nécessaires au déploiement de la connexion sécurisée HTTPS. Baptisé "Let's Encrypt", le projet de l'EFF veut rendre ce processus accessible, automatique et gratuit.

L'EFF n'a jamais fait mystère de son intention de chiffrer tout le web. Bien avant que n'éclate le scandale de la surveillance de masse opérée par les agences de renseignement, l'ONG américaine a défendu la nécessité de chiffrer les communications sans tarder. C'est ainsi qu'est né le projet HTTPS Everywhere, un module sur Firefox et Chrome qui sécurise les échanges entre le navigateur et le site visité.

Concrètement, HTTPS Everywhere active le protocole de transfert hypertexte sécurisé (HyperText Transfer Protocol Secure), lorsque celui-ci est disponible. Car en effet, de nombreux sites disposent du HTTPS, mais celui-ci n'est pas toujours proposé par défaut. Aussi, l'extension se charge de l'activer afin de protéger les activités de l'usager.

La connexion HTTPS mobilise le protocole SSL / TLS (Secure Sockets Layer / Transport Layer Security). L'authentification du serveur protégé sur lequel l'internaute se connecte en HTTPS implique l'obtention d'un certificat qui est délivré par une autorité de certification. Or, l'acquisition de ce document numérique coûte un montant relativement élevé, ce qui freine mécaniquement la généralisation du HTTPS.

Partant de ce constat, l'EFF vient de lancer une nouvelle initiative baptisée "Let's Encrypt". En partenariat avec la fondation Mozilla, Cisco, Akamai, IdenTrust et des universitaires de la faculté du Michigan, l'ONG compte mettre sur pied une nouvelle autorité de certification qui doit simplifier à l'extrême le déploiement du HTTPS et autoriser la distribution gratuite et automatique des certificats.

"Le plus gros obstacle au déploiement du HTTPS a été la complexité, la bureaucratie excessive et le coût des certificats dont HTTPS a besoin. Nous avons tous en mémoire ces avertissements et messages d'erreur générés par des certificats mal configurés. Ces alertes sont une allusion au fait que le HTTPS (et les autres utilisations de TLS / SSL) est dépendant d'une bureaucratie horriblement complexe".

L'EFF prévoit de démarrer les activités de Let's Encrypt au cours du second semestre 2015. Les travaux autour de ce projet sont disponibles en open source, sur GitHub.

Partager sur les réseaux sociaux

Plus de vidéos