Une étude menée par des universitaires de la faculté d'Harvard montre que la généralisation de la connexion sécurisée (HTTPS) sur Wikipédia a été bénéfique pour combattre la censure.

La décision prise par la fondation en 2014 de généraliser la navigation sécurisée sur la totalité de ses projets, à commencer par l’encyclopédie libre et gratuite Wikipédia, a eu un effet positif contre la censure de certains pays. C’est ce qui ressort d’une étude menée par des universitaires de la faculté d’Harvard et dont le site Motherboard s’est fait l’écho.

« Notre étude montre qu’il y a eu moins de censure en juin 2016 qu’avant la transition de Wikipédia vers des contenus livrés uniquement en HTTPS en juin 2015. Le HTTPS empêche les censeurs de voir quelle est la page qu’un utilisateur est en train d’afficher, ce qui signifie que les censeurs doivent choisir entre bloquer l’intégralité du site et permettre l’accès à tous les articles », écrivent les universitaires.

Les universitaires ont alors fait des comparatifs avant / après juin 2015 et les ont combinés avec une analyse historique des journaux de requêtes quotidiennes pour environ 1,7 million d’articles dans 286 langues différentes entre 2011 à 2016 afin de déterminer les éventuels événements de censure survenus au cours de cette période.

C’est pour cette raison, notamment, que toutes les éditions du site Wikipédia ont été bloquées sur le territoire turc fin avril 2017, au motif que les autorités n’ont pas obtenu de l’encyclopédie le retrait des propos suggérant des liens entre l’État turc et certaines organisations terroristes. La Turquie ne pouvant pas cibler certaines pages très précises, il a fallu tout bloquer.

Origine et généralisation du HTTPS

Rappel des faits.

En 2011, la fondation Wikimédia annonce la prise en charge du HTTPS, un protocole qui permet d’établir, grâce au chiffrement, un canal sécurisé entre le navigateur de l’internaute et le serveur du site sur lequel il se rend. Cette méthode de transmission, qui assure en principe la confidentialité et l’intégrité des données échangées est cruciale, notamment dans la banque, le commerce ou la correspondance.

À l’époque, le HTTPS n’était pas généralisé. Mais en 2013, tout change. les révélations spectaculaires sur la surveillance de masse mise en place par les États-Unis, à travers notamment le programme XKEYSCORE qui sert à pister les activités et l’historique de navigation d’un internaute, en s’appuyant sur le protocole HTTP (donc, couche de protection), conduisent Wikimédia à changer son fusil d’épaule.

nsa xkeyscore

Dans les documents de la NSA, pour certains datés de 2008, on pouvait voir que les agents du renseignement américain avaient bien compris que de nombreux sites n’avaient pas à l’époque déployé ou généralisé le HTTPS. Une présentation citait Facebook, Google Earth, Gmail, Yahoo, Twitter, CNN, MySpace et… Wikipédia. Depuis, les services mentionnés ont généralisé l’emploi du HTTPS.

Dans le cas de l’encyclopédie libre et gratuite, la bascule est survenue à l’été 2015. « Nous sommes en train de mettre en œuvre le protocole HTTPS pour chiffrer tout le trafic Wikimédia. Nous allons aussi utiliser le mécanisme HTTP Strict Transport Security (HSTS) afin de se prémunir contre les efforts visant à casser le trafic HTTPS pour intercepter ensuite le trafic », expliquait alors la fondation.

HTTPS, HSTS et confidentialité persistante

Un an plus tôt, Wikimédia indiquait avoir activé la confidentialité persistante (forward secrecy), qui complique les tentatives de surveillance par un tiers. Cette propriété en cryptographie garantit que la découverte de la clé privée d’un correspondant ne remet pas en cause la confidentialité des communications passées. En somme, depuis 2013 et les révélations de Snowden, la fondation n’a pas ménagé ses efforts.

Ce sont toutes ces mesures qui sont aujourd’hui louées par les universitaires. « Le passage au HTTPS a été bénéfique en termes d’accessibilité aux connaissances », commentent-ils. Et pour arriver à cette conclusion, leurs travaux ont nécessité la mise en place de deux stratégies complémentaires dans la collecte et l’analyse de données : l’une côté client et l’autre côté serveur.

wikipedia-wikimedia
CC Shou-Hui Wang

Côté client, il s’agissait de collecter des données du point de vue des utilisateurs du monde entier ; côté serveur, c’est une analyse du trafic entrant dans les serveurs Wikipédia qui a été réalisée. Les deux méthodes « ont détecté des événements que nous considérons comme liés à la censure, en plus d’un grand nombre d’événements suspects qui restent inexpliqués », observent les universitaires.

En tout, les données provenant de quinze pays ont été analysés à partir de mai 2015, soit juste avant la généralisation par défaut du HTTPS sur Wikipédia et, de fait, l’abandon de la liaison en HTTP : l’Arabie saoudite, la Chine, la Corée du Sud, Cuba, l’Égypte, le Kazakhstan, l’Indonésie, l’Iran, l’Ouzbékistan, le Pakistan, la Russie, la Syrie, la Thaïlande, la Turquie et le Vietnam.

Partager sur les réseaux sociaux