Vers un site crypté ?
2015/01/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria
Edward Snowden, ancien employé des agences d'information et de sécurité américaines CIA et NSA, a été chargé de faire connaître les programmes PRISM et Tempora et le système XKeyscore, tous réalisés pour détecter les communications et les données sur notre réseau au nom de la sécurité.
Face à cela, il existe un certain nombre de mesures que l'utilisateur peut prendre et que nous vous avons dans l'article sur la sécurité Web. Par exemple, assurer l'utilisation du protocole HTTPS lorsque nous devons fournir des informations confidentielles sur un site web (mots de passe, comptes bancaires…). Il existe des extras pour les navigateurs tels que HTTPS Everywhere, qui s'en chargeront. Et pour le courrier, nous pouvons utiliser le programme PGP (Pretty Good Privacy) ou sa version libre GPG (GNU Privacy Guard), qui chiffrera nos messages de sorte que seuls les destinataires se déchiffrent.
Ces alternatives, cependant, nécessitent toujours un travail supplémentaire pour l'installation et l'utilisation, qui dans certains cas n'est pas si simple...
Rendre la base Web plus sûre
Un site Web plus sécurisé ne devrait pas être la responsabilité des utilisateurs, quels démons! Les responsables du site devraient le faire, non? Car ils le font dans une certaine mesure.
L'IETF (Internet Engineering Task Force), consultant pour le développement de protocoles Internet, dispose d'un groupe de travail appelé HTTPB is, responsable du protocole HTTP. Ce groupe de travail a travaillé la prochaine version du protocole HTTP/2 et l'a présentée en décembre comme proposition pour la nouvelle version de la norme. Cette nouvelle version a toujours été proposée d'utiliser le cryptage TLS (utilisé par HTTPS) en novembre de l'année dernière, mais la controverse est apparue et, au nom du consensus, ils ne proposeront finalement pas l'obligation. Cependant, certains navigateurs ont dit qu'ils n'utiliseront que HTTP/2 avec TLS, mais qu'ils utiliseront l'ancienne version. Ainsi, chaque fois que possible, une connexion sécurisée sera utilisée.
Une autre initiative en 2015 sera l'EFF ou Electronic Frontier Foundation, la Fondation Mozilla (auteur du navigateur Firefox) et d'autres: Let’s Encrypt. Il s'agit d'un nouvel émetteur de certificats qui, gratuitement et en quelques secondes, nous fournira un certificat pour pouvoir offrir le service HTTPS (en particulier celui que nous vous expliquons dans l'article d'authentification Internet d'avril 2013). Avec ce type de facilités, il est à supposer que dans l'avenir beaucoup plus de sites offriront une connexion HTTPS sécurisée et cryptée.
En outre, il est destiné à rendre le service DNS (Domain Name System) plus sûr et plus confidentiel. Le service DNS est chargé de convertir un nom de domaine que nous mettons sur le web (boletaria.elhuyar.org, google.com…) en numéro IP utilisé par Internet pour désigner des serveurs et des ordinateurs (54.235.134.181, 212.142.160.208...). Mais comme cette information n'est pas cryptée, tout le monde peut la voir ou la manipuler. Ils ont maintenant créé le protocole DNSC rypt pour que les communications entre notre ordinateur et le serveur DNS soient cryptées. Il existe plusieurs serveurs DNS déjà déployés et il est logique que les navigateurs soient déployés.
D'autre part, même si nous utilisons toujours des protocoles sécurisés HTTPS, SMTPS ou IMAPS pour les communications avec notre fournisseur de messagerie, les messages peuvent être détectés d'un fournisseur à l'autre. Pour éviter cela, de plus en plus de fournisseurs de messagerie utilisent le cryptage TLS dans leurs transferts de messages.
En fin de compte, bien que lentement, leurs responsables tentent de rendre le web de plus en plus sûr. En fait, l'esprit du web a toujours été ouvert et au bénéfice de l'utilisateur, et l'organisation qui dirige le web, W3Ck, et son directeur et inventeur, Tim Berners Lee, ont toujours montré une attitude favorable aux normes ouvertes, la sécurité des communications et le bien-être de la société.
Mais cela ne servira à rien si les utilisateurs continuent à utiliser de plus en plus les applications des appareils mobiles au lieu d'utiliser le web. Ces applications sont réalisées par des entreprises, des entreprises avec des intérêts et utilisent leurs propres protocoles de communication ; personne ne sait comment ces protocoles fonctionnent, qu'ils soient sûrs ou non... Nous savons quel est le programme de messagerie le plus utilisé sur mobile, même si vos problèmes de sécurité sont connus…
La solution serait de chiffrer toutes les communications entre tous les ordinateurs et les nœuds qui composent Internet. Ainsi, le protocole et l'application que nous utilisons sont tous cryptés de telle sorte qu'aucun tiers ne puisse le détecter. Il a également proposé IAB ou Internet Architecture Board
L'organisation, organisme responsable du développement technique et de l'ingénierie Internet: Chiffrer toutes les communications Internet au niveau inférieur.
Quoi qu'il en soit, bien qu'à un moment donné la sécurité et la confidentialité maximales soient atteintes dans toutes les communications qui circulent sur le Web, nous obtiendrions que des tiers n'aient pas la possibilité d'accéder à nos communications. Mais pouvons-nous être sûrs du destinataire ? Snowden rapporte que dans le programme PRISM plusieurs fournisseurs de sites web fournissent toutes les informations à NSA: Google, Yahoo, Skype, Dropbox… Si nous les utilisons, nous ne pouvons pas être sûrs que nos données resteront privées. Pour ce faire, il n'y a pas d'autre choix que d'utiliser les systèmes de cryptage et de protection les plus compliqués mentionnés...