L’EFF, l’ONGI de protection des libertés sur internet, a applaudi l’adoption grandissante du protocole HTTPS sur le Web. Dans un billet de blog, la Fondation a noté que « Le mouvement visant à crypter le Web a franchi une étape importante après l'étape de 2017. Le Web est en pleine transition entre le protocole HTTP non sécurisé et le protocole HTTPS plus sécurisé et crypté. Tous les serveurs Web utilisent l'un de ces deux protocoles pour obtenir des pages Web du serveur vers votre navigateur. » L’EFF a rappelé que HTTP a de sérieux problèmes qui le rendent vulnérable à l'écoute clandestine et au détournement de contenu. En ajoutant Transport Layer Security (ou TLS, dont une version antérieure était connue sous le nom de Secure Sockets Layer ou SSL), HTTPS résout la plupart de ces problèmes.
C’est la raison qui a été à l’origine de cet encouragement de la part de la Fondation, mais également d’autres parties dans l’écosystème internet.
« En février, les mesures ont basculé. Pour la première fois, environ la moitié du trafic internet était protégé par HTTPS. Maintenant que l'année 2017 arrive à sa fin, une moyenne de 66 % des pages chargées sur Firefox est cryptée et Chrome affiche des statistiques encore plus élevées », souligne l’EFF.
Une adoption qui est due à de nombreux facteurs. Nous pouvons citer par exemple le fait que les principaux éditeurs de navigateurs commencent à modifier leur politique en prévoyant de marquer comme non sécurisés les sites en HTTP qui collectent des informations comme les mots de passe ou les cartes de crédit.
Il faut également prendre en considération l’arrivée de l’autorité de certification Let’s Encrypt. Fin juin 2017, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015. Rappelons qu’en février 2017, Let's encrypt était utilisé par 13,70 % du total des domaines français enregistrés. Désormais, le volume de certificats délivrés par l’autorité se rapproche de plus en plus des 200 millions (il a dépassé les 177 millions).
« Les autorités de certification telles que Let's Encrypt délivrent des certificats numériques signés destinés aux propriétaires de sites Web qui aident les utilisateurs Web et leurs navigateurs à vérifier de manière indépendante l'association entre un site HTTPS particulier et une clé de chiffrement. Let's Encrypt se distingue parce qu'il offre ces certificats gratuitement. Et, avec Certbot d'EFF, ils sont plus faciles à obtenir que jamais pour les webmestres et les administrateurs de sites Web », souligne l’EFF.
Il faut quand même rappeler que, selon des experts, Let's Encrypt pourrait être coupable d'aller trop loin, trop vite et de donner trop de bonnes choses sans avoir mis sur pied les bons contrôles et contrepoids.
L'inquiétude principale est que, bien que la croissance de l’utilisation du protocole SSL/TLS soit une tendance positive pour l’écosystème du Web tout entier, elle offre également aux criminels un moyen simple de faciliter la falsification des sites Web, l'emprunt d'identité des serveurs, les attaques man-in-the-middle, mais aussi un moyen de faire passer des logiciels malveillants à travers les mailles du filet des pare-feux d'entreprises.
« Les utilisateurs peu conscients pourraient penser qu'ils communiquent avec des sites fiables, car l'identité du site a été validée par une autorité de certification, sans se rendre compte que ce ne sont que des certificats de validation de domaine sans aucune garantie quant à l'identité de l'organisation propriétaire du site » , a déclaré Asif Karel, directeur de la gestion des produits chez Qualys.
Quoi qu’il en soit, pour l’EFF, « La prochaine grande étape dans le cryptage du Web est de s'assurer que la plupart des sites Web sont sur HTTPS par défaut sans jamais envoyer des internautes à la version HTTP de leur site. La technologie pour ce faire s'appelle HTTP Strict Transport Security (HSTS), et est de plus en plus largement adoptée. »
« En 2018, il y a beaucoup à espérer. Dans le cadre d'une amélioration significative de l'écosystème TLS, par exemple, Chrome prévoit d'exiger la transparence des certificats à partir d'avril prochain. Alors que les navigateurs et les utilisateurs font pression sur les sites Web pour le HTTPS omniprésent et que le processus d'obtention d'un certificat devient plus facile et intuitif pour les webmasters, nous prévoyons que 2018 sera une autre année de croissance et d'amélioration HTTPS », a conclu l’EFF.
Source : EFF
Et vous ?
Pensez-vous que le HTTP doit totalement disparaître du Web ? Pourquoi ?Voir aussi :
Avec ses certificats SSL gratuits, Let's Encrypt pourrait-il représenter un danger pour la sécurité sur le Web ? Oui, selon des experts 
