Enigma machine / Tom MacWright / Observable
Un simulateur en ligne de la machine Enigma.
Un simulateur en ligne de la machine Enigma.
Il fallait s’y attendre : maintenant que le HTTPS est devenu une option standard sur tous les sites, les gouvernements veulent le contrer.
Mozilla fait bien de faire ce qu’ils font, mais je reste d’accord avec le premier commentaires : ce n’est pas parce que dans les autres autres pays la loi ne le dit pas explicitement que les services de renseignements ne font pas sauter la barrière chiffrée.
Me semble que la NSA et la CIA (entre autres) savent déjà faire sauter tout le HTTPS qu’ils veulent.
Oops.
Oui, c'est une question politique.
Après si comme il dit, ils foncent quand-même quand on leur dit non [interdire le chiffrement ne changera rien], s'ils veulent paraître occupé à résoudre les problèmes pour justifier leur poste auprès du public, ou s'ils font ça par simple intérêt personnel... Ce n'est pas de l'incompétence technique, mais de l'incompétence en démocratie :p.
ÉDIT : Je suis plutôt de cet analyse ici : https://n.survol.fr/n/commentaire-limiter-le-chiffrement qui explique bien plus simplement beaucoup plus de choses.
Ils sont déjà déconnectés du monde, et ils s’en fichent déjà du monde. La seule chose qui les motive, c’est leur carrière et leur image (vu que pour le moment c’est quand même nous qui votons pour eux).
Bref, ne pas savoir écouter les conseilles, ne pas savoir être là pour le peuple et à son service, ça résume se résume bien en « incompétence en démocratie ».
Heu… Ce n’est pas nouveau du tout : l’URL est partagée en clair sur le réseau, avec ou sans HTTPS. Ça a toujours été le cas. Le HTTPS ne chiffre que le contenu des pages.
Ici le problème ne vient pas du HTTPS, mais d’un réseau Wifi ouvert : toutes les URL sont alors visibles. Et ça n’est pas spécifique au Web, mais aussi au reste : emails, tchat…
Et même si on avait un Wifi chiffré, les URL seraient chiffrés, mais uniquement entre votre ordinateur/téléphone et la box-wifi. Entre la box et le reste du réseau, l’URL transite à nouveau en clair (pas le contenu des pages, car on est toujours en HTTPS).
En fait, je ne pense pas qu’on puisse avoir un chiffrement de bout en bout total (URL comprise). Tor ou un VPN ne sont pas du chiffrement de bout en bout : à un moment on sort du tunnel VPN/Tor pour récupérer la page demandée.
ÉDIT : On me signale que seul le host est en clair avec TLS. Le reste, GET et POST sont dans le bloc chiffré. C’est bien.