Le HTTPS peut ne pas suffire pour vous protéger sur le Web

Heu… Ce n’est pas nouveau du tout : l’URL est partagée en clair sur le réseau, avec ou sans HTTPS. Ça a toujours été le cas. Le HTTPS ne chiffre que le contenu des pages.

Ici le problème ne vient pas du HTTPS, mais d’un réseau Wifi ouvert : toutes les URL sont alors visibles. Et ça n’est pas spécifique au Web, mais aussi au reste : emails, tchat…

Et même si on avait un Wifi chiffré, les URL seraient chiffrés, mais uniquement entre votre ordinateur/téléphone et la box-wifi. Entre la box et le reste du réseau, l’URL transite à nouveau en clair (pas le contenu des pages, car on est toujours en HTTPS).

En fait, je ne pense pas qu’on puisse avoir un chiffrement de bout en bout total (URL comprise). Tor ou un VPN ne sont pas du chiffrement de bout en bout : à un moment on sort du tunnel VPN/Tor pour récupérer la page demandée.

ÉDIT : On me signale que seul le host est en clair avec TLS. Le reste, GET et POST sont dans le bloc chiffré. C’est bien.